Sender에서 인터넷 접속 불가합니다.

[alertjjm]

네트워크 구성도 - 노트북 2대를 두고 테스트

---

사용 명령어

sudo ./arp-spoof ens33 192.168.0.30 192.168.0.1 192.168.0.1 192.168.0.30

외부네트워크와 통신하지 않는 icmp는 정상 작동

ping 192.168.0.30에서 "ping 192.168.0.1"를 하였을 때 192.168.0.182에서 정상적으로 스니핑이 가능하였습니다. attackersview_icmp.zip

인터넷 timeout

www.naver.com에 접속하였을 때, arp table은 계속 유지되고 있었습니다(request 받을 때 정상적으로 스니퍼가 가짜 arp를 전송하는 것과 192.168.0.30의 arp -a 확인) 그러나 계속 192.168.0.30에서는 timeout이나며 인터넷 접속이 불가하였습니다

ping www.google.com

그래서 ping(icmp)에 대한 패킷만 디버깅해보고자 해당 명령어에 대한 패킷만 잡아보았고 , 멘토님 말씀대로 192.168.0.181(0.182의 호스트, 윈도우)에서 방화벽을 끄고 패킷을 잡아보았습니다. 그런데 역시 0.30에서보낸 icmp의 dst mac주소는 0.181(attacker 호스트)를 향했고, 0.181의 와이어샤크에서는 검출이 되었습니다. 그러나, 이 패킷이 0.182(attacker guest vmware)에게까지는 흘러들어오지 못하였습니다. 해당 패킷 pcap들 첨부하겠습니다. 필터링 specified하지 않은 raw패킷들 첨부하겠습니다. pingpackets.zip

[snoopspy]

www.naver.com 으로 DNS 날리는 패킷이 sender.pcap 62 / attackerhost.pcap 192 / attackerguest.pcap 118 에서 보임.

[snoopspy]

ping 패킷(192.168.0.30 > 210.89.160.88)

sender.pcap 65 f8:63:3f:19:d0:20 > 0c:7a:15:d4:a7:1f

attackerhost.pcap 198 f8:63:3f:19:d0:20 > 0c:7a:15:d4:a7:1f

좀 이상한데? 외 둘다 Ethernet Header의 src mac 및 dst mac이 같지?

[alertjjm]

멘토님 draw.io가 잘못되었습니다 notebook1의 mac: f8:63:3f:19:d0:20 / notebook2.host의 mac: 0c:7a:15:d4:a7:1f이었습니다 환경을 계속 바꿔가며 하니 착오가 있었던것같습니다..

[snoopspy]

• Sender, Attacker Host, Attacker Guest는 NTP를 이용하여 Time Sync를 맞춰 놓을 것.

• Attacker는 Host와 Guest 2개의 네트워크 정보(IP, Mac)를 명시할 것(그림까지 필요 없고 글자로 설명해도 됨).

• Attacker Host 및 Attacker Guest에서는 네트워크를 유발시키는 브라우저와 같은 프로그램은 다 꺼 놓을 것.

• 다음과 같이 하나의 flow만 주고 테스트할 것(반대 방향은 일단 하지 말 것).

  sudo ./arp-spoof ens33 192.168.0.30 192.168.0.1

• "ping google.com" 하면 DNS까지 발생하니 테스트가 어려움. Sender에서는 "ping 8.8.8.8" 명령어를 실행할 것.

• Sender, Attacker Host, Attacker Guest 모두에서 "arp || icmp"로 필터를 걸어서 pcap file로 저장할 것.

[alertjjm]

• Sender, Attacker Host, Attacker Guest는 NTP를 이용하여 Time Sync를 맞춰 놓을 것. -> done

• Attacker는 Host와 Guest 2개의 네트워크 정보(IP, Mac)를 명시할 것(그림까지 필요 없고 글자로 설명해도 됨).

  Attacker_Host: IP(192.168.0.181) MAC(0c:7a:15:d4:a7:1f)
  Attacker_Guest: IP(192.168.0.182) MAC(00:0c:29:6f:81:00)
  Sender: IP(192.168.0.30) MAC(f8:63:3f:19:d0:20)

• Attacker Host 및 Attacker Guest에서는 네트워크를 유발시키는 브라우저와 같은 프로그램은 다 꺼 놓을 것. -> done

• 다음과 같이 하나의 flow만 주고 테스트할 것(반대 방향은 일단 하지 말 것).

  sudo ./arp-spoof ens33 192.168.0.30 192.168.0.1

  -> done

• "ping google.com" 하면 DNS까지 발생하니 테스트가 어려움. Sender에서는 "ping 8.8.8.8" 명령어를 실행할 것.

-> done

• Sender, Attacker Host, Attacker Guest 모두에서 "arp || icmp"로 필터를 걸어서 pcap file로 저장할 것.

-> done(export specified packets로 저장) Packets.zip

[alertjjm]

TimeSync 맞춘 후 libpcap까지 삭제 재설치 한 후 ping 210.220.163.82와 DNS 질의는 처리가 되었습니다. -solved

solved_packets.zip

그러나 인터넷 접속이 불가하며, relay에 jumbo frames가 들어오며 오류발생 -solved

• pcap_sendpacket()이 1514이상의 큰 패킷을 처리 불가 -> sudo ethtool -K ens33 tx off sg off tso off 명령어로 해결

새로운문제: DNS, Icmp, TCP마저도 RELAY 잘 되는 것을 확인함. 그러나 여전히 sender에서 인터넷 접속 불가 - UNSOLVED

ip, mac모두 위와 같은환경에서 진행하였고, 양방향 arp 스푸핑 중 sender에서 google에 접속하는 상황의 패킷 캡처 첨부합니다

Attacker_Host: IP(192.168.0.181) MAC(0c:7a:15:d4:a7:1f)
Attacker_Guest: IP(192.168.0.182) MAC(00:0c:29:6f:81:00)
Sender: IP(192.168.0.30) MAC(f8:63:3f:19:d0:20)

google.zip

요약

• 현재 DNS, ICMP, TCP 각각의 패킷들은 relay가 되고 있습니다.
• 그러나 sender에서 인터넷 접속이 불가합니다.
• 제 생각으로는 패킷 처리 속도가 느려서 그러지 않을까 싶습니다.

[alertjjm]

무선 랜카드로 해결하였습니다. SOLVED! 감사합니다 ㅎㅎ