[보안] ping 만있으면, 도청장치(sniffer)를 공격할수 있다?!

jyj9782의 이미지

* Test Platform: Linux debian..
* Using Tool: ping ( linux version )
* Victim Syste: windows XP
* Victim Tool: Ethereal ( windows version )

해커가 윈도우나 혹은 리눅스에서 스니퍼를 사용해서 패킷을 감청하고
있을때, 즉각적으로 발견하고 스니퍼를 마비시킬수 있는 간편한 팁을..
찾았습니다. ㅎㅎ

이더리얼 스니퍼로 윈도우에서 감청중이었는데. 192.168.2.3 이라는 호스트입니다..

아래 명령을 리눅스 상에서 몇번에 걸쳐 시도했더니..

    ping 192.168.2.3 -l 10000000000000
    [3초지연]
    [CTRL+C]

    ping 192.168.2.3 -l 10000000000000
    [3초지연]
    [CTRL+C]

    ping 192.168.2.3 -l 10000000000000
    [3초지연]
    [CTRL+C]
    ..
    ..

그 결과 엄청난양의 ICMP 패킷이 이더리얼 스니퍼에 캡쳐되었습니다.

그리고는, 스니핑을 멈추는 스탑버턴을 눌렀는데..

버퍼링과정이 너무 길어졌으며, 14%정도하고 버퍼링 중지를 눌렀습니다.

그러자 디디디하면서, 이더리얼 스니퍼가 꺼져버렸습니다.

ㅎㅎㅎ

다른 스니퍼에도 저렇게 공격하면, 스크롤 마비혹은..

그런 증상을 유발시키는 역공을 할수 있을거라 생각합니다.

혹 그런 공격자를 발견하시면, 한번 때려주세요 ;;

(_ _)/

[/]
Forums: 
ixevexi의 이미지

ㅎ... ICMP를 캡쳐안하면되죠

이더리얼의 강력한 옵션!

C++, 그리고 C++....
죽어도 C++

jyj9782의 이미지

그거 돌리고 앉았는 사람은..;
대게 치밀하지 않아요.. ㅎㅎㅎ

ixevexi wrote:
ㅎ... ICMP를 캡쳐안하면되죠

이더리얼의 강력한 옵션!

힘내세요.

다즐링의 이미지

메모리랑 시퓨만 많으면 상관이 없죠;;

그리고 보통 -_-;; ids나 firewall 등은

그에 관련된 작업이 이미 되있습니다;;

( dos 쪽이겠죠 아마 '' )

------------------------------------------------------------------------------------------------
Life is in 다즐링

errai의 이미지

icmp 패킷을 이용한 sniffing 탐지 인줄 알았습니다.
(모르신다면 한번 연구해보세요. :-)

아무튼 그런 간단한 DoS공격은 로컬에서나 가능한 이야기 이고
위 글은 windows 버전 ethereal 버그로 보입니다만..
제작자에게 버그리포팅 해주시지요.

jyj9782의 이미지

ㅎㅎㅎㅎㅎㅎㅎ ㅡㅡ;;
그렇죠? 그건 저도 아는데..
너무 팍팍하게만 생각하시는듯..
이건 뭐 PC나 작은 컴퓨터들이 뭉친..
랜네트워크 상에서 이더리얼이나 그런거에서.
.일어날수 있는 쇼크를 지적해본건뎅 =.=;

힘내세요.

arthor77의 이미지

아무리 그래도 막을수있을까요?
개인 PC야 그렇다쳐도 대형장비에선 여러가지 구멍이 많아 보이는게
현실인데 허나 이런 식의 방법도 좋긴하죠...
열심히들 공부하십시다.

opt의 이미지

실제 공격자들은 스니핑을 위해 ethereal 등의 패킷 캡쳐 프로그램을 사용하지 않습니다.

일반적인 스니핑 프로그램들은 실전에서 다음과 같은 한계가 있습니다.
1. 원하는 정보를 획득하기 위해 복잡한 syntax 를 이용해 패킷 캡쳐하지 않으면 안된다.
2. 일단 캡쳐된 패킷 정보를 다시 한번 분석하는 시간을 들여야 한다.
3. 스위칭 환경에서 아무 소용이 없다.

분초를 다투는 공격에 있어 이런 단점들은 치명적이죠.

때문에 공격자들은 POP3, Telnet 등의 정보만 일괄적으로 모아서 보기 편한 아스키 텍스트 파일로 정리해줄 뿐만 아니라, 스위칭 환경에서도 패킷을 가로챌 수 있는 전문적인 공격 도구를 사용하는 것입니다.

네트워크 상에서 스니퍼를 탐지하기 위한 보다 효율적인 도구가 이미 나와있습니다. 솔루션 형태로도 팔고 있고, 오픈 소스로도 있으니 이런 도구를 활용하는 것이 더 바람직할 것입니다.

----
LUX ET VERITAS | Just for Fun!

Saintlinu의 이미지

네 말씀하신 분 처럼 sniffing을 하다가 packet량이 너무 많으면

스스로 자멸(?)하는 경우가 많습니다 . :evil:

linux / windoz의 경우 그런경우를 볼 수 있죠..

packet 처리 루틴의 문제인 것 같은데요

그리고 실제 대형 백본에 sniffer를 붙여서 볼때는 packet의 loss를

감안해서 실시간 분석을 하는게 아니라 일단 파일로 저장한다음

사람이 분석하는 방법을 취합니다.

물론 실시간으로 보면 좋겠지만. 스르럭 지나가는 패킷의 움직이란 -_-);;

위의 말씀처럼 filter를 끼우면 그나마 좀더 수월해지지만. 어디 패킷들이

말을 들어야죠 :oops:

행복하세요 ^_^

쎄피로의 이미지

움..전에 그런 현상이 있었으나..

이더리얼 최신 버젼에서는..

이미 고쳐지지 않았는지요?

움..

세상은 넓고, 할 일은 많은데, 난 숨만 쉬고 있니?

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.