hping3, nmap을 이용한 IDLE 스캔

IDLE Scanning

• TCP 스캐닝의 일종
• IDLE Host(좀비PC)의 반응을 통해 침투 대상의 활성화된 Port 확인
• IP 헤더의 Identification 필드를 지속적으로 모니터링 하여 변화를 관찰 함
• IDLE Host -> Windows System(RST 전송), 다른 프로그램이 동작 중이면 정확한 결과 확인 힘듬
• 그림
  

  

Hping3을 이용한 IDLE 스캐닝

• TCP/IP 패킷 제네레이터
• 헤더 값을 옵션을 통해 지정 및 변경
• 생성된 값으로 보안 테스트를 가능케 해줌
• Port 스캐닝, Hide Pinging, Dos Attack, Firewall rule test 등 성능과 보안 테스트용으로 사용
• 사용법
• 기본 사용법 : hping3 <host> [옵션]
• 옵션
• -r : ID 모니터링
• -p <dport> : 목적지 Port 주소 설정
• -a <spoofing id> : 출발지 IP주소 변조
• -S : TCP flag에서 SYN 셋팅

실습하기

• idle host 상태 모니터링
  

  

• kali_30# hping3 -r 10.10.10.10
  
  
• 타겟 시스템 port scan 요청 전송
  

  

• kali_30# hping3 -p 80 -S -a 10.10.10.10 10.10.10.40
  

  

  
  명령어 입력하는 순간 id가 +2씩 증가하는 걸로 볼 수 있음 >> 포트가 열려있음
  취소하면 다시 +1로 바뀜
• kali_30# hping3 -p 80 -S -a 10.10.10.10 10.10.10.40
  

  

  
  명령어 입력하는 순간 id는 +1로 유지됨 >> 포트가 닫혀있음

실습하기 2

• nmap을 이용하여 실습
• 개요
• 공격자 : kali(20)
• Idle PC : XP(10)
• 피해자 : CentOS(40)
• 확인 : 공격 순서에 맞게 패킷 분석
• 명령어
• nmap -sI <IDLE PC IP> -p <Port> <Victim IP>
• nmap -sI 10.10.10.10 -p 80 10.10.10.40
  

  

  
  

  

  
  +1씩 증가
  
  

  

  
  
  

  

  
  

  

  
  +2씩 증가 >> 포트 열려있다.
  이렇게 중간에 갑자기 IP가 바뀌는 이유(소스IP가 10에서 40으로 바뀜)는 보안상 걸리는 것을 회피하기 위해서 nmap이 알아서 똑똑하게 공격하는 것. (보리-쌀 게임 생각하면 편할듯)
  
  
• nmap -sI 10.10.10.10 -p 110 10.10.10.40

실습 저장하기

• nmap <명령어> -oX <파일이름>