공격 분석(2부)

공격 분석(2부)공격 분석(1부)

돈 파커

1부에서는 Nmap이 보낸 패킷 시퀀스를 여는 동안 관찰할 수 있는 정보를 보여드렸습니다. 전송 시퀀스는 컴퓨터나 네트워크에 IP 주소가 할당되었는지 확인하기 위해 ICMP 에코 응답으로 시작합니다.

또한, 공격을 받는 컴퓨터의 네트워크가 Windows 기반 네트워크라는 것은 해당 컴퓨터에서 전송하는 ICMP 에코 응답 패킷의 TTL을 통해 추측할 수 있습니다. 지금 해야 할 일은 Nmap 스캐너에서 남아 있는 패킷을 계속 관찰하고, 피해자 네트워크의 프로필을 알아낼 수 있는 나머지 정보를 찾아내는 것입니다.

계속하다

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

위의 두 패킷은 1부에서 관찰한 ICMP 패킷 이후에 왔습니다. Nmap은 포트 80을 통해 피해자 네트워크 IP 192.168.111.23에 ACK 패킷을 보냈습니다. 위조된 정보이므로 여기서는 전체적인 상황을 파악할 수 없습니다. 공격자로부터 수신된 ACK 패킷은 예상치 못한 응답인 RST 패킷이라는 것만 알 수 있습니다. 이는 본질적으로 이전에 확립된 연결의 일부가 아닙니다. 우리는 여전히 이전에 관찰된 ttl에 해당하는 128의 ttl을 가지고 있습니다.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

ACK와 RST 패킷 교환을 따라, 굵은 S로 표시된 패킷에서 알 수 있듯이 해커에서 피해자 네트워크로 실제 SYN 패킷이 전송되었음을 알 수 있습니다. 이를 통해 SYN/ACK 패킷이 피해자 네트워크의 포트 21에서 돌아온다는 것을 알 수 있습니다. 그런 다음 해커의 컴퓨터에서 피해자 네트워크로 RST 패킷이 전송되어 이러한 교환이 종료됩니다. 이 세 개의 패킷에는 이제 위조품에 대한 풍부한 정보가 담겨 있습니다.

피해자의 컴퓨터에서는 ttl 128도 있고 win64240도 있습니다. 이 값은 나열되어 있지 않지만 실제로 Win32(Win NT, 2K, XP, 2K3와 같은 Microsoft Windows의 32비트 버전)에서 여러 번 본 크기입니다. Windows 컴퓨터의 또 다른 한계는 IP ID의 개수를 예측할 수 없다는 것입니다. 이 경우에는 IP ID 값이 하나만 있습니다. 이 컴퓨터가 Microsoft Windows 컴퓨터라고 확실하게 말할 수 있으려면 최소한 하나 이상의 값이 필요합니다. Nmap 스캔에서 남은 패킷을 살펴보세요.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

해커가 살펴보는 첫 번째 정보는 IP ID 번호가 399로 증가하는지 확인하는 것입니다. 패킷 중간에서 볼 수 있듯이 이 DI IP는 실제로 399입니다. 이 정보를 바탕으로 해커는 자신이 공격하는 피해자의 컴퓨터가 Windows NT, 2K, XP 또는 2K3라는 것을 확신하게 됩니다. 또한 이 패킷 시퀀스에서 관찰된 점은 피해자 네트워크의 포트 80에 서비스가 있는 것으로 보이는데, 이는 SYN/ACK 패킷을 통해 입증됩니다. SYN/ACK 패킷은 TCP 헤더의 플래그 필드를 조사하여 확인하며, 이 경우 밑줄 친 16진수 값은 10진수로 12 또는 18입니다. 이 값은 SYN 플래그 2 값을 ACK 플래그 16 값에 더하여 감지할 수 있습니다.

열거

해커가 21번과 80번 포트가 모두 기업에 열려 있다는 것을 알게 되면 열거 상태로 전환됩니다. 지금 그가 알아야 할 것은 어떤 유형의 웹 서버가 연결을 수신하고 있는가이다. 해커가 IIS 웹 서버의 Apache 취약점을 이용하는 것은 무의미할 것입니다. 이를 염두에 두고 공격자는 cmd.exe 세션을 열고 네트워크 유형을 알아낼 것입니다.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

위에 표시된 네트워크 유형이나 해커가 피해자의 IP 주소와 포트 80을 입력한 nc.exe 구문을 볼 수 있습니다. 해커는 침입에 성공하면 GET 메서드의 HTTP를 입력한 다음 문법적으로 잘못된 문장을 입력합니다. 이러한 동작으로 인해 피해자 네트워크의 웹 서버가 요청 내용을 이해하지 못할 경우 해당 시스템으로 정보를 다시 보낼 수 있습니다. 그래서 해커가 필요로 하는 정보를 자연스럽게 나열하는 거죠. 해커는 이제 자신이 Microsoft IIS 5.0에 있다는 것을 알 수 있습니다. 해커들이 이 버전을 악용한 여러 가지 방법을 개발했기 때문에 더 좋은 소식이 있습니다.

결론

해커는 Nmap을 사용하여 피해자의 네트워크를 스캔함으로써 일련의 중요한 데이터 패킷을 수신할 수 있습니다. 앞서 살펴본 것처럼 이러한 데이터 패킷 안에는 해커가 아키텍처, 운영 체제, 네트워크 유형, 서버 유형의 취약점을 악용할 수 있는 정보가 가득 들어 있습니다.

간단히 말해, 이런 방식을 통해 해커는 호스트, 아키텍처, 제공되는 서비스에 대한 핵심 정보를 얻을 수 있습니다. 해커는 이 정보를 입수해 피해자 네트워크의 웹서버에 공격을 가할 수 있습니다. 다음 섹션에서는 해커가 사용자를 공격하기 위해 사용할 수 있는 공격에 대해 자세히 소개합니다.

공격 분석(2부)공격 분석(3부)

Sign up and earn $1000 a day ⋙

Leave a Comment

일반 TV와 스마트 TV의 차이점

일반 TV와 스마트 TV의 차이점

스마트 TV는 정말로 세상을 휩쓸었습니다. 이렇게 많은 뛰어난 기능과 ​​인터넷 연결 덕분에 기술은 우리가 TV를 시청하는 방식을 바꾸어 놓았습니다.

왜 냉동고에는 조명이 없는데 냉장고에는 조명이 있나요?

왜 냉동고에는 조명이 없는데 냉장고에는 조명이 있나요?

냉장고는 가정에서 흔히 볼 수 있는 가전제품이다. 냉장고는 보통 2개의 칸으로 구성되어 있는데, 냉장실은 넓고 사용자가 열 때마다 자동으로 켜지는 조명이 있는 반면, 냉동실은 좁고 조명이 없습니다.

Wi-Fi 속도를 저하시키는 네트워크 혼잡을 해결하는 2가지 방법

Wi-Fi 속도를 저하시키는 네트워크 혼잡을 해결하는 2가지 방법

Wi-Fi 네트워크는 라우터, 대역폭, 간섭 외에도 여러 요인의 영향을 받지만 네트워크를 강화하는 몇 가지 스마트한 방법이 있습니다.

Tenorshare Reiboot를 사용하여 데이터 손실 없이 iOS 17에서 iOS 16으로 다운그레이드하는 방법

Tenorshare Reiboot를 사용하여 데이터 손실 없이 iOS 17에서 iOS 16으로 다운그레이드하는 방법

휴대폰에서 안정적인 iOS 16으로 돌아가려면 iOS 17을 제거하고 iOS 17에서 16으로 다운그레이드하는 기본 가이드는 다음과 같습니다.

매일 요구르트를 먹으면 몸에 어떤 일이 일어날까요?

매일 요구르트를 먹으면 몸에 어떤 일이 일어날까요?

요거트는 정말 좋은 음식이에요. 매일 요구르트를 먹는 것이 좋은가요? 매일 요구르트를 먹으면, 몸에 어떤 변화가 있을까요? 함께 알아보죠!

어떤 종류의 쌀이 건강에 가장 좋은가요?

어떤 종류의 쌀이 건강에 가장 좋은가요?

이 기사에서는 가장 영양가 있는 쌀 종류와 어떤 쌀을 선택하든 건강상의 이점을 극대화하는 방법에 대해 설명합니다.

아침에 제 시간에 일어나는 방법

아침에 제 시간에 일어나는 방법

수면 일정과 취침 루틴을 정하고, 알람 시계를 바꾸고, 식단을 조절하는 것은 더 나은 수면을 취하고 아침에 제때 일어나는 데 도움이 되는 몇 가지 방법입니다.

Rent Please!를 플레이하기 위한 팁 초보자를 위한 집주인 시뮬레이션

Rent Please!를 플레이하기 위한 팁 초보자를 위한 집주인 시뮬레이션

임대해 주세요! Landlord Sim은 iOS와 Android에서 플레이할 수 있는 모바일 시뮬레이션 게임입니다. 여러분은 아파트 단지의 집주인 역할을 하며 아파트 내부를 업그레이드하고 세입자가 입주할 수 있도록 준비하여 임대를 시작하게 됩니다.

최신 욕실 타워 디펜스 코드 및 코드 입력 방법

최신 욕실 타워 디펜스 코드 및 코드 입력 방법

욕실 타워 디펜스 Roblox 게임 코드를 받고 신나는 보상을 받으세요. 이들은 더 높은 데미지를 지닌 타워를 업그레이드하거나 잠금 해제하는 데 도움이 됩니다.

변압기의 구조, 기호 및 동작 원리

변압기의 구조, 기호 및 동작 원리

변압기의 구조, 기호, 동작 원리에 대해 가장 정확한 방법으로 알아보겠습니다.

AI가 스마트 TV를 더욱 개선하는 4가지 방법

AI가 스마트 TV를 더욱 개선하는 4가지 방법

더 나은 화질과 음질, 음성 제어 등 AI 기반 기능 덕분에 스마트 TV가 훨씬 더 좋아지고 있습니다!

ChatGPT가 DeepSeek보다 나은 이유

ChatGPT가 DeepSeek보다 나은 이유

처음에 사람들은 DeepSeek에 큰 기대를 걸었습니다. ChatGPT의 강력한 경쟁자로 마케팅되는 AI 챗봇으로서, 지능적인 채팅 기능과 경험을 약속합니다.

Fireflies.ai를 만나보세요: 여러분의 업무 시간을 절약해주는 무료 AI 비서

Fireflies.ai를 만나보세요: 여러분의 업무 시간을 절약해주는 무료 AI 비서

다른 필수 사항을 적다 보면 중요한 세부 사항을 놓치기 쉽고, 채팅하면서 메모를 하려고 하면 주의가 산만해질 수 있습니다. Fireflies.ai가 해결책입니다.

마인크래프트에서 악솔로틀 키우는 법, 마인크래프트 도롱뇽 길들이는 법

마인크래프트에서 악솔로틀 키우는 법, 마인크래프트 도롱뇽 길들이는 법

Axolot Minecraft는 플레이어가 사용법을 안다면 수중에서 작업할 때 큰 도움이 될 것입니다.

A Quiet Place: The Road Ahead PC 게임 구성

A Quiet Place: The Road Ahead PC 게임 구성

'콰이어트 플레이스: 더 로드 어헤드'의 구성은 상당히 높은 평가를 받고 있으므로, 다운로드하기로 결정하기 전에 구성을 고려해야 합니다.