Day 74 (TCP Hijacking)

<목차>

1. 목적

2. 사용 툴 & 구성 환경

3. 실습 과정

4. 결과 확인

---

1. 목적

공격자가 피해자의 TCP세션을 탈취하여 로그인 하지 않고 서버를 이용하는 방식이다.

 

2. 사용 툴 & 구성 환경

1) hunt : TCP세션을 탈취하기 위해 사용하며, 기본적으로 TCP dump, arp spoofing, fragrouter기능도 내장되어 있다. 인터페이스가 사용자가 원하는 텝으로 이동하여 기능을 지정하기 때문에 사용하기 편리하게 구성 되어있다.

 

2) 구성 환경

	MAC주소	IP	운영 체제
공격자	00:0c:29:1c:c7:bc	192.168.111.26	Cent OS 6
피해자	00:0c:29:08:87:32	192.168.111.29	Windows XP
Telnet 서버	00:0c:29:1d:21:65	192.168.111.154	Cent OS 7

 

3. 실습 과정

hunt패키지가 repository에 있는지 확인한다.

hunt프로그램을 작동시킨다.

'd'를 누르게 되면 사용할 데몬을 선택 할 수 있다.

피해자가 Telnet서버에 접속해 세션을 열어놓았다.

피해자 혹은 telnet서버의 arp spoofing을 수행하기 위해 대상의 IP와 임의의 MAC주소를 입력한다. Crtl+C를 누르게 되면 arp spoofing이 종료된다.

arp spooing중일때 list를 확인할 수 있다.

 

 

4. 결과 확인

Arp spoofing을 이용해 각각 피해자와 Telnet 서버의 MAC주소를 조작한다.

피해자의 arp테이블에서 Telnet서버의 MAC주소가 변경되었다.

Telnet서버의 arp테이블에서 피해자의  MAC주소가 변경되었다.

Arp spoofing에서 사용할 MAC주소를 지정하지 않는다면 hunt가 순차적으로 지정하는 MAC주소로 arp spoofing을 수행한다.

 

정상적으로 Telnet에 접속한 경우 Telnet서버가 수신한 패킷

세션이 탈취된 경우에 공격자의 IP주소가 드러난다.

(좌) 세션 탈취 후 피해자가 송신한 패킷 (우) 세션 탈취 후 서버가 송신 한 패킷

TCP세션 탈취를 시도했지만 작동하지 않는다.

하지만 패킷을 보게되면 탈취하는 Action은 작동하여 피해자와 Telnet서버의 연결이 끊긴것을 확인할 수 있다. 이를 통해 탈취는 성공했으나 그 후에 연결유지는 되지 않은것을 알 수 있다.

TCP세션 탈취시 arp spoofing이 가능한지 확인해보았으나 수행되지 않았다.

 

TCP hijacking을 방지하기 위해서는 공격자가 중간에 끼어서 작동하므로 패킷의 유실 및 재 전송 증가를 탐지한다. 또한 네트워크 트래픽을 감시하여 ACK Storm을 탐지한다. 클라이언트와 서버는 정확한 Sequence Number를 맞추기 위해 서로 ACK패킷을보내는 과정에서 무한 루프에 걸리게 된다. 결국 ACK패킷의 비율이 급격하게 증가 한다.