이론 참고
https://ge-syeong.tistory.com/6?category=775861
[해킹 이론] TCP 세션 하이재킹
관련이론 - 세션 하이재킹(Session HiJacking) : 사용자와 컴퓨터, 또는 두 컴퓨터간의 활성화된 상태인 세션을 가로채어 공격자가 모든 작업을 감시하거나 제어할 수 있게 하는 공격 기법 - TCP 세션
ge-syeong.tistory.com
이번 실습에서는 Hunt 툴을 이용하여 Telnet TCP 세션하이재킹을 실습해 볼 것이다.
Hunt 툴 의 주요 특징
가. 연결 관리
- 관심있는 접속 설정
- 자신의 시스템에 접속하려면 연결 탐지
- ACK Storm 탐지를 통한 능동적인 세션 하이재킹
- ARP 스푸핑 탐지
- 하이재킹 후 서버와 클라이언트간 동기화
- 접속의 리셋 및 감시
나. DEMON
- 자동 접속 리셋을 위한 리셋 데몬
- ARP 스푸퍼와 ARP 스푸핑을 위한 릴레이 데몬
- MAC 주소 수집을 위한 MAC 탐색 데몬
- TCP 트래픽에서 특정 문자열을 탐색할 수 있는 스니퍼 데몬
모의 해킹 실습 환경 구축
실습 환경 : Net Network
공격자(Kali) : 192.168.62.128
클라이언트(Window10) : 192.168.62.129
서버(CentOS) : 192.168.62.130
공격 절차
(1) 서버와 클라이언트가 연결 중인 상태 구성
① CentOS 텔넷 서버 구성
② 클라이언트와 서버 연결
③ 공격자 Hunt 툴 설치 및 세션 탐지
④ 세션 끊기
⑤ 도청
TCP 세션하이재킹 보안 대책
1. 비동기화 상태 탐지 : 서버와 시퀀스 넘버를 주기적으로 체크하여 비동기화 상태에 빠지는지 확인한다.
2. ACK Storm 탐지 : ACK 패킷의 비율이 비정상적으로 높다면 ACK Strom에 빠졌을 확률이 높다.
3. 패킷의 유실과 재전송 증가 탐지 : 공격자가 중간에 끼어서 동작을 하므로 패킷의 유실과 재전송이 발생하여 서버와의 응답시간이 길어진다.
4. 예상치못한 접속의 리셋 : 세션을 빼앗기거나 빼앗기지 않더라도 공격이 실패할 경우 세션이 멈추거나 리셋된다.
'모의 해킹 > 네트워크 해킹' 카테고리의 다른 글
| [해킹 이론] TCP 세션 하이재킹 (0) | 2022.06.26 |
|---|---|
| [해킹 실습] ARP 스푸핑 보안조치 실습 (0) | 2018.12.08 |
| [해킹 실습] ARP 스푸핑 실습 (2) (0) | 2018.12.07 |
| [해킹 실습] ARP 스푸핑 실습 (1) (0) | 2018.12.06 |
| [해킹 이론] ARP 스푸핑 이론 (0) | 2018.12.06 |