[6주차] 네트워크 심화 실습

[복습]

 

5주차 - 네트워크 실습(포트 스캔) / TCP, UDP 특징

왼쪽: 정상행위. 비정상행위일 때 탐지와 차단하는 것 중요

(정상 행위를 눈에 익혀야 비정상도 잘 알아볼 수 있음)

포트 스캔: 한 아파트의 도로명 주소로 접근해서 그 아파트 가구(초인종) 노크 통해 사람 유무 확인함.

- nmap: 칼리 입장에서 주분투에 어떤 서비스가 있는건지 노크하는 것과 유사

 

 

 

 

와이어샤크로 정보 확인 및 포트 여닫힐 때의 행위 확인 (21, 22, 23, 80 포트 열려있는 것 확인함) - TCP 정상적인 방식 진행됨

 

 

 

 

 

 ftp는 정상행위(3way handshake) 사용하고 있는데 처음 연결할 때 신호를 보내게 되는데, 마지막 ack 행위가 서버에 전달되면 서버는 연결됐다는 로그 값 기록하게 됨. ack 메시지를 공격자(client)가 안 보내면 기록되지 않을 수 있음. 이 행위가 stealth.

3번 메시지가 ack가 아닌 rst

 

지난 시간엔 -sT를 썼는데 이번엔 -sS 사용

1. 주분투: 와이어샤크 실행 - sudo wireshark
2. 칼리: sudo nmap -sS 192.168.100.20 -p 1-65535

UDP는 응답 없는 게 정상 / 비정상일 경우 ICMP Unreachable 메시지 발송

TCP는 연결 안 되면 TCP 패킷 보내게 되는데, UDP는 UDP 패킷을 보내는 게 아닌 Unreachable 패킷 보냄

이유는 TCP 헤더 구조보단 UDP 헤더 구조가 더 간단했는데, 교수님께서는 아마 UDP에서 응답 없음에 대해 방법이 없을 거라고 생각하심. (애초에 설계부터 UDP는 보내고 마는 거라 따로 structure 잡아서 안 만들었을 것)

정상적일 때는 보내고 아무 응답이 없음. 포트 닫혀있는 것들에 대해서는 icmp unreachable 메시지 옴

• nmap 활용 시 UDP는 -sU. 마지막 1-100만 > sudo nmap -sU 192.168.100.20 -p 1-100
• 와이어샤크 결과 - tcp 무시, udp와 icmp 관련 흐름 보기
• 검색 - udp.stream: dns 무시.

내기준 3번째라 eq 3 붙여서 검색

20 → 128 udp로, 128 → 20 icmp로 보낸 것 확인

• 검색 - udp.port == 25

하단상세정보: 포트 정보 없음. 이게 좀 특이.

 

[이론 - ftp]

ftp: 파일 전송하는 하나의 프로토콜

ex) ppt 만들어서 업로드 했을 경우: 원드라이브로 올리면 웹 창에서 확인 가능함. 반면 ftp 서버에 올려놓으면 글자 하나 수정하려면 올라가있는 파일 다운받고 수정 후 다시 올려야함. 그리고 사람들에게 알려야함 > 복잡 & 보안 상 취약

지난주 nmap을 통해 4개 서비스 올라가있는 거 확인했는데, http는 외부 접속이니까 빼고 ftp, ssh, telnet 어떻게 쓸 것이냐에 대해 배울 것(이 방법은 기본적으로 알고 있어야 함)

 

[실습 - kali에서 주분투로 ftp 이용해 접속]

vsftpd: 프로그램 이름. 리눅스에서 보편적으로 사용하는 ftp 이름

칼리 파일을 주분투로 보내는 게 1번 - 업로드

주분투 파일을 가져오는 게 2번 - 다운로드

주분투 = ftp 서버

 

* vi 사용법

1. a
2. 학번 입력
3. esc
4. : (클론)
5. wq(write 후 quit)
6. 바탕화면에 파일 생성 확인

바탕화면 파일을 주분투(서버)에 업로드

1. cd ~/Desktop: 서버 경로 변
2. ls
3. put security.txt

* 서버 데스크탑에다 경로 바꿔주는 것 = 서버의 경로를 바꿔주는 것.

 

1번(업로드)

- 주분투 바탕화면에 해당 파일이 생성되어 있는 것 확인

2번(다운로드)

- 주분투에서 vim security1.txt 만들고

- 칼리에서 ls로 만들어진 것 확인

- get security1.txt 명령어로 주분투 txt 파일 받아오기