[모의해킹] EP.01 : 스니핑- telnet

안녕하세요. 잇츠밍입니다.

오늘부터 예전에 운영하던 네이버 블로그에 썼던 글들을 리뉴얼하여 티스토리로 옮길 예정입니다. 아무래도 전문적인 지식이다 보니 재미가 없을 수도 있을 것 같습니다..^^;; 최대한 쉽게 설명할 테니 많은 관심 부탁드립니다!

 

1. 스니핑 이란?

스니핑은 네트워크 내에서 흘러 다니는 패킷을 훔쳐보는 행위입니다. bus형 네트워크는 CSMA/CD, 패킷이 모든 호스트에게 전달되고 목적지가 자신인 패킷만을 수용하는 방식입니다. 이때 PROMISCUOUS 방식을 사용하면 모든 패킷을 수용하게 되고 이 패킷들을 분석하여 정보를 캐내는 것이 스니핑입니다.

 

 

2 실습 목적 및 원리

텔넷은 암호화되지 않는 원격 접속 프로그램으로 23번 포트를 사용합니다. 클라이언트가 입력하면 그 데이터가 서버에게 전송되어 입력되고 서버가 입력된 내용을 다시 클라이언트에게 전송하여 출력되는 방식으로 패킷에서 클라이언트에서 입력한 글자가 서버로 전송되고 다시 전송받을 것을 예측할 수 있습니다.

 

3 실습 환경

telnet client - 192.168.10.149(window 7)

telnet server - 192.168.10.152(centos 5.5)

공격자 - 192.168.10.150(fedora)

 

4 실습 준비

4.1 telnet client - telnet 프로그램 설치

Windowds 기능 사용/사용 안함을 클릭합니다.

 

 

윈도우의 경우 윈도우에서 텔넷 클라이언트 기능을 추가해줍니다.

 

4.2 telnet server - telnet server 설치

yum install telnet-server 명령어로 텔넷 서버를 설치합니다.

 

설치 후 /etc/xinetd.d/telnet 파일을 편집기로 열어서 disable을 no로 하여 사용할 수 있도록 합니다.

 

 

-xinetd 데몬을 재실행해줍니다. 그래도 안되는 경우는 방화벽을 꺼줍니다.

 

 

4.3 공격자 - tcpdump 설치

- 랜카드 장치를 promiscuous 모드로 설정합니다.

 

fedora에 보통 tcpdump는 설치되어 있습니다. 설치되어있지 않다면 yum install tcpdump 명령어로 설치해줍니다.

 

 

 

 

 

5 실습

(1) 공격자 PC에서 스니핑 하길 원하는 IP와 포트번호, 프로토콜을 지정해주고 캡처되는 내용을 파일로 저장합니다. -xX 옵션은 패킷 내용 전체를 캡처하도록 합니다.

# tcpdump -xX -i eth0 tcp port 23 and host (ip address) > (file name)

캡쳐가 시작되면 텔넷 클라이언트에서 서버로 접속합니다.

 

로그인 후 캡쳐를 종료합니다.(ctrl+c) 캡쳐된 파일이 생긴것을 확인할 수 있습니다.

 

 

tcpdump로 캡쳐한 패킷의 내용입니다. 클라이언트(192.168.10.149)에서 서버(1092.168.10.152)로 id를 입력하면 서버가 클라이언트로 입력된 값을 보여주는 것을 볼 수 있습니다. 아래 실제 텔넷을 사용한 화면과 비교해볼 수 있습니다.

 

 

tcpdump에서 -w 옵션을 사용해서 파일로 저장할 수 있고 그 파일은 wireshark에서 읽을 수 있습니다.

 

 

wireshark의 conversation 기능을 사용하여 패킷들을 분석한 것입니다.

 

 

 

설치 후 /etc/xinetd.d/telnet 파일을 편집기로 열어서 disable을 no로 하여 사용할 수 있도록 합니다.