hping3 로 IDLE 스캐닝

실습> idle scanning

Victim : 192.168.108.105
Attacker : 192.168.108.102

idle scanning은 남을 이용해서 Victim의 포트번호를 스캔하는 방법이며 방화벽이 있으면 안되는 공격이다.

hping3 의 옵션
-S : SYN flag 설정
-A : ACK flag 설정
-p : 목적지 포트
-a : 소스 IP 속이기
-r : id 모니터링
-c : 패킷 수

기본 tcp 통신
포트 지정하지 않으면 목적지 0번 포트로 통신을 요청한다.
기본 플래그 Null (플래그 설정 안된 상태에서 통신 요청)

1. hping3 테스트
Victime# iptables -F
Attacker# hping3 -c 10 -S -p 22 192.168.108.100

2. Victim 포트/방화벽 확인
Victim# netstat -nltp
Victim# iptables -nL

3. IDLE 스캔
Attacker# hping3 -r 192.168.108.105
HPING 192.168.108.105 (eth0 192.168.108.105): NO FLAGS are set, 40 headers + 0 data bytes
len=46 ip=192.168.108.105 ttl=128 id=70 sport=0 flags=RA seq=0 win=0 rtt=15.9 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=1 win=0 rtt=16.0 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=2 win=0 rtt=7.0 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=3 win=0 rtt=4.1 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=4 win=0 rtt=9.9 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=5 win=0 rtt=6.9 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=6 win=0 rtt=8.0 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=7 win=0 rtt=7.0 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=8 win=0 rtt=8.1 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=9 win=0 rtt=4.1 ms
  :
  :(생략)

4. 변조된 패킷 전송

hping3 의 옵션
-S : SYN flag 설정
-A : ACK flag 설정
-p : 도착지 포트
-a : 소스 IP 속이기
-r : id 모니터링
-c : 패킷 수

 A       -r        V2
 o ---------------> o 
 |
 |  V2라고 속인다.
 |
 v
 o
 V1

열린 포트로 전송하면 +2로 출력된다.
Attacker# hping3 -S -p 22 -c 1 -a 192.168.108.105 192.168.108.100
  :
len=46 ip=192.168.8.10 ttl=128 id=+1 sport=0 flags=RA seq=1 win=0 rtt=8.0 ms
len=46 ip=192.168.8.10 ttl=128 id=+1 sport=0 flags=RA seq=2 win=0 rtt=8.0 ms
len=46 ip=192.168.8.10 ttl=128 id=+1 sport=0 flags=RA seq=208 win=0 rtt=8.0 ms
len=46 ip=192.168.8.10 ttl=128 id=+2 sport=0 flags=RA seq=209 win=0 rtt=8.0 ms
                               ~~~~~

닫힌 포트로 전송하면 +1로 출력된다.
Attacker# hping3 -S -p 81 -c 1 -a 192.168.108.105 192.168.108.100                     


Attacker# hping3 -r 192.168.108.105
  :
  :
len=46 ip=192.168.8.10 ttl=128 id=+1 sport=0 flags=RA seq=210 win=0 rtt=4.0 ms
len=46 ip=192.168.8.10 ttl=128 id=+1 sport=0 flags=RA seq=210 win=0 rtt=4.0 ms


Attacker# hping3 -S -p 80 -c 5 -a 192.168.108.105 192.168.108.100      
HPING 192.168.108.100 (eth0 192.168.108.100): S set, 40 headers + 0 data bytes

Attacker# hping3 -r 192.168.108.105
  :
  :
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=1167 win=0 rtt=6.3 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=1168 win=0 rtt=1003.0 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=1169 win=0 rtt=7.9 ms
len=46 ip=192.168.108.105 ttl=128 id=+2 sport=0 flags=RA seq=1170 win=0 rtt=7.0 ms
len=46 ip=192.168.108.105 ttl=128 id=+2 sport=0 flags=RA seq=1171 win=0 rtt=3.1 ms
len=46 ip=192.168.108.105 ttl=128 id=+2 sport=0 flags=RA seq=1172 win=0 rtt=0.8 ms
len=46 ip=192.168.108.105 ttl=128 id=+2 sport=0 flags=RA seq=1173 win=0 rtt=7.0 ms
len=46 ip=192.168.108.105 ttl=128 id=+2 sport=0 flags=RA seq=1174 win=0 rtt=7.9 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=1175 win=0 rtt=5.1 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=1176 win=0 rtt=7.0 ms
len=46 ip=192.168.108.105 ttl=128 id=+1 sport=0 flags=RA seq=1177 win=0 rtt=5.0 ms

 

실습> Victim#1 에서 idle scan의 패킷을 tcpdump로 덤프받고 분석하기

Victim#1 : CentOS7, 192.168.108.100
파일명 : idleScan.pcap

-nn : 포트번호를 번호로 출력
-i  : 인터페이스 
-w  : 파일 저장 
port : 포트 설정
Victim# tcpdump -i ens33 port 80 -w idelScan.pcap
Victim# scp idleScan.pcap 192.168.108.102:

Attacker# wireshark idleScan.pcap


Victim# nmap -sV 192.168.108.100
Starting Nmap 7.91 ( https://nmap.org ) at 2021-08-03 23:42 EDT
Nmap scan report for 192.168.108.100
Host is up (0.000065s latency).
Not shown: 996 closed ports
PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 7.4 (protocol 2.0)
80/tcp   open  http       nginx 1.20.1
443/tcp  open  tcpwrapped
3306/tcp open  mysql      MariaDB (unauthorized)
MAC Address: 00:0C:29:29:7B:76 (VMware)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.76 seconds