2015 HDCON-평소와 다른 인터넷(Track3)
2015 HDCON에 참여했었습니다. track1, track2가 제 노트북에서는 안열려서 track3만 그당시 풀었던거 같은데 첨이라 그런지 많이 어려웠습니다. 그중 딱 하나 문제 풀었었는데
그걸 포스팅 해보겠습니다.
인터넷이 느려졌다. 많은 이유가 있겠죠??
하지만 제가 초점을 맞춘것은 ARP 스푸핑이였습니다. 사실 네트워크 공부를 거의안해서 아는 공격이라고는 DDOS와 ARP 스푸핑 두개였습니다.
ARP 스푸핑에 대해 간략히 설명해보면 ARP는 IP주소를 MAC주소로 변환하는데 사용하는 프로토콜이라고 생각하면 됩니다. 실질적인 정보교환은 IP가 아닌 MAC주소로 일어납니다.
예를 들어 A와 B가 있다고 한다면 A는 B의 IP를 알고있습니다. 하지만 MAC주소를 모르기 때문에 정보를 전송할 수 없습니다. 따라서 A는 ARP 프로토콜을 이용하여 "이 IP(B의 IP)를 가진 PC의 MAC 주소가 뭐야??" 라고 브로드캐스트하게 됩니다. 그럼 B는 ARP 패킷을 수신하여 MAC 주소를 A에게 알려주게 됩니다.
그렇다면 공격자는 이 A의 ARP를 가로채서 "내가 그 IP(B의 IP)의 PC야 내 MAC 주소는 이거야" 라고 거짓말을 하게되고 A는 그것을 믿고 B에 보내게 될 패킷을 공격자에게 보내게 됩니다.
이게 ARP 스푸핑을 간략히 설명한 예입니다.
만약 A가 있는 네트워크의 게이트웨이를 B가 ARP 스푸핑하면 어떻게 될까요?? 게이트 웨이는 네트워크가 밖으로 나갈 수 있도록 하는 통로입니다. 즉 유일한 출구라고 할 수 있습니다. 이 곳을 공격자가 게이트웨이의 MAC어드레스를 자신(공격자)의 MAC어드레스로 바꾸면 해당 네트워크의 PC가 외부 네트워크로 보내는 패킷을 공격자가 전부 받아볼 수 있게 되는 것 입니다.
이런 공격을 중간자 공격(MITM)이라고 합니다.
자 그럼 문제를 풀 수 있습니다.
와이어샤크에서 arp에 필터를 걸고보면(전체 패킷은 많지만 ARP패킷은 적습니다.)
1,2 파일에서는 특이한 사항이없습니다.
3번을 보면 게이트웨이의 MAC어드레스가 보입니다.
4번을 보면 게이트웨이의 MAC어드레스가 변조가 된 것을 볼 수 있습니다.
따라서 답을 유추해 낼 수 있습니다.
답은 파일명_Time
파일명은 4이고, 가장 첫번째의 시간은 86.739243
답: 4_86.739243
0 개의 댓글