2020. 2. 28. 16:51ㆍSecurity/서버 보안
목차
1. TCP dump
1-1. TCP dump에 대해
1-2. 실습(TCP dump를 이용한 스니핑)
1. TCP dump를 이용한 스니핑
1-1. TCP dump에 대해
- 관리를 위한 툴로 Snort의 기반이 된다.
기능
- 이더넷의 모든 패킷을 다양한 형식으로 캡쳐.
-> 시스템들 사이에 송수신 되는 패킷 헤더 혹은 패킷 전체 캡쳐
-> 특정 포트번호 (혹은, 특정 서비스)로 송수신 되는 패킷 헤더 혹은 패킷 전체를 캡쳐
-> 캡쳐된 내용을 특정 파일에 저장할 수 있다.
설치 확인
# rpm -qa | grep tcpdump
명령
# tcpdump -[옵션 값], …
옵션
- i [장치명]
- tcp port [포트번호]
- host [ip]
- xX : 패킷의 내용전체 캡쳐
- w : 내용을 파일로 저장 (r : 읽기)
1-2. 실습(TCP dump를 이용한 스니핑)
[attacker CentOS 6]
# rpm -qa | grep tcpdump
// tcpdump 설치 확인
[CentOS 7]
# rpm -qa | grep telnet
# yum -y install telnet -server
# systemctl start telnet.socket
# systemctl status telnet.socket
// 텔넷 서비스 시작
# groupadd -g 3000 telnet
# useradd -g 3000 -u 3001 teluser
// telnet 전용 계정 생성
[Windows]
[attacker CentOS 6]
# tcpdump -xX -i eth0 tcp port 23 and dst host 192.168.111.27 > 111.27
// 공격자 시스템에서 tcp dump 실행
// 최대한 필요한 packet만 받을 수 있도록 옵션과 시작하는 순간을 잘 조절해야 한다.
telnet 192.168.111.27 -> 계정, 비밀번호 입력후 접속 완료
[attacker CentOS 6]
# cat 111.27
// tcp dump 종료 후, cat 111.27 파일 분석