깐풍 치킨이라는 걸 먹어봤는데 꽤 맛도리더라구욤
걸스토크 진하게 낋이고 맥주 한잔 딱 마셔주면?
극.락.
다들 열심히 살아보자구용 화이탱!!!!!!
| 공격명 : TCP Session Hijacking | 분류 : 네트워크 공격 |
| 1. 개요 |
| 공격명 | TCP Session Hijacking (Sequence Number Prediction/Manipulation) | 분류 | 네트워크 공격 |
| 타깃 | bWAPP와 사용자 간의 Established 세션 | 도구 | Shijack, Hunt, Ettercap, Scapy, Wireshark |
| 환경 | ESXi | Kali → pfSense → Snort(IDS) → WAF → Web | ||
| 2. 공격 결과 |
| 공격 성공 여부 | 실패 |
| 탐지 결과 | Snort 탐지 성공 (Alert 발생) |
| 결과 요약 | 비정상적인 TCP 패킷 삽입 시도가 IDS에 의해 실시간 탐지됨 |
| No | 공격 패턴 / 기법 | 페이로드 / 사용 명령 | 탐지 (Snort / WAF) |
| 1 | TCP 세션 스니핑 (3-way handshake 이후 세션 확인) | wireshark 또는 tcpdump -i eth0 | Snort: X / WAF: X |
| 2 | Sequence Number 분석 | Wireshark에서 SEQ / ACK 번호 추적 | Snort: X / WAF: X |
| 3 | 세션 동기화 후 패킷 삽입 (Hijacking 시도) | scapy 기반 패킷 생성 또는 hunt 사용 | Snort: O / WAF: X |
| 4 | ACK Storm 유발 (세션 충돌) | 공격자가 위조된 ACK 지속 전송 | Snort: O / WAF: X |
| 5 | 명령 삽입 (세션 탈취 성공 시) | 위조 패킷으로 HTTP 요청 삽입 |
| 3. 매핑 (MITRE ATT&CK / CVE / OWASP) |
| MITRE ATT&CK | TA0008 Lateral Movement / T1557 Adversary-in-the-Middle |
| CVE 참조 | 특정 CVE보다는 TCP/IP 프로토콜의 구조적 취약점 기반 |
| OWASP Top 10 | 해당 없음 (L4 계층 공격) |
| CWE | CWE-342: Predictable Sequence Number in TCP Connections |
| 4. 비고 |
| 미탐지 페이로드 | 단순 스니핑 단계나 아주 정밀하게 동기화된 1회성 명령 삽입은 일반적인 IDS에서 탐지가 어려울 수 있음 |
| 추가 룰 제안 | Snort: alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"TCP Session Hijacking Attempt"; flags:A; ack:0; window:0;) 커널 설정: TCP Sequence Number 생성을 더욱 무작위화(Randomization)하도록 설정 |
| 다음 단계 과제 | 2차 - 데이터 암호화(SSL/TLS)가 적용된 환경에서 TCP 하이재킹의 무력화 여부 확인 |
| 공격명 : Network Sniffing | 분류 : 네트워크 공격 |
| 1. 개요 |
| 공격명 | Network Sniffing (Packet Analysis via ARP Spoofing) | 분류 | 네트워크 공격 |
| 타깃 | bWAPP와 사용자 간의 평문(HTTP) 통신 데이터 | 도구 | Wireshark, Ettercap, Bettercap, arpspoof, Tcpdump |
| 환경 | ESXi | Kali → pfSense → Snort(IDS) → WAF → Web | ||
| 2. 공격 결과 |
| 공격 성공 여부 | 성공 |
| 탐지 결과 | ARP 테이블 변조는 탐지되었으나, 수동적 스니핑 자체는 미탐지 |
| 결과 요약 | ARP Spoofing을 통해 타깃 트래픽을 공격자 PC로 우회시킨 후, Wireshark를 이용해 평문으로 전송되는 HTTP 로그인 정보 및 세션 정보를 획득함 |
| No | 공격 패턴 / 기법 | 페이로드 / 사용 명령 | 탐지 (Snort / WAF) |
| 1 | 호스트 스캐닝 | fping -g 220.88.200.0/24 | Snort : X (일반적인 네트워크 스캔) |
| 2 | ARP Spoofing | arpspoof -i eth0 -t [Target IP] [Gateway IP] | Snort : X |
| 3 | IP Forwarding 활성화 | echo 1 > /proc/sys/net/ipv4/ip_forward | Snort : X (공격자 로컬 설정) |
| 4 | 패킷 캡처 및 필터링 | tcpdump -i eth0 port 8081 -w capture.pcap | Snort : X (수동적 행위) |
| 5 | 민감 정보 추출 | Wireshark 필터: http.request.method == "POST" | WAF : X |
| 3. 매핑 (MITRE ATT&CK / CVE / OWASP) |
| MITRE ATT&CK | TA0007 Discovery: T1046 Network Service Scanning TA0009 Collection: T1040 Network Sniffing TA0006 Credential Access: T1557.002 Adversary-in-the-Middle (ARP Cache Poisoning) |
| CVE 참조 | 특정 소프트웨어 결함보다는 ARP 프로토콜의 설계상 취약점(인증 절차 부재) 이용 |
| OWASP Top 10 | A02:2021-Cryptographic Failures (민감 데이터의 평문 전송) |
| CWE | CWE-319: Cleartext Transmission of Sensitive Information CWE-486: Comparison of Classes by Name (Identity 기반 인증 부재) |
| 4. 비고 |
| 미탐지 페이로드 | 단순히 패킷을 '듣는' 행위(Passive Sniffing)는 네트워크상에 어떤 흔적도 남기지 않아 탐지가 불가능에 가까움 다만, 스위치 환경에서 강제로 패킷을 가져오기 위한 ARP Spoofing 과정은 ARP 모니터링 도구(Arpwatch 등)로 탐지할 수 있음 |
| 추가 룰 제안 | alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"[GOLDEN-SHIELD] Nmap XMAS Scan Detected"; flags:FPU; sid:1000002; rev:1;) alert tcp $EXTERNAL_NET any -> $HOME_NET 8081 (msg:"[GOLDEN-SHIELD] Cleartext Password Detected"; flow:to_server,established; content:"password="; nocase; sid:1000001; rev:1;) # snort.conf 내 설정 예시 preprocessor arpspoof preprocessor arpspoof_detect_host: 220.88.200.203 00:11:22:33:44:55 # (서버 IP와 고정된 MAC 주소를 매핑하여 변조 시 경고 발생) |
| 다음 단계 과제 | HTTPS 환경에서의 SSL Stripping 공격 수행 및 HSTS(HTTP Strict Transport Security) 적용 시 방어 효과 분석 |
'시큐리티아카데미 7기 - sk쉴더스트랙 > 프로젝트' 카테고리의 다른 글
| [시큐리티 아카데미 7기 - sk쉴더스 트랙] 프로젝트 13일차 - 2026.04.29 (0) | 2026.05.04 |
|---|---|
| [시큐리티 아카데미 7기 - sk쉴더스 트랙] 프로젝트 12일차 - 2026.04.28 (0) | 2026.04.30 |
| [시큐리티 아카데미 7기 - sk쉴더스 트랙] 프로젝트 10일차 - 2026.04.22 (0) | 2026.04.24 |
| [시큐리티 아카데미 7기 - sk쉴더스 트랙] 프로젝트 9일차 - 2026.04.21 (0) | 2026.04.21 |
| [시큐리티 아카데미 7기 - sk쉴더스 트랙] 프로젝트 8일차 - 2026.04.20 (0) | 2026.04.20 |
