경로추적

경로추척

공격자 입장에서 공격하고자 하는 타겟에게 접근하는 상황에 어떤 장비를 지나가야 하는 지 파악해야 하는 경우

어떤 네트워크 장비가 있는지 어떤 보안 솔루션이 있는지 등 타겟과 통신을 진행하는 상황의 경로를 파악해야 함

 

ip protocal의 TTL값을 조정해 알아내는 방식

처음에는 1로 설정해 보내고 점차 1씩 증가해 보냄으로써 TTL만료로 발생하는 오류메시지를 통해 중간 경로상 장비를 파악하는 것으 목적으로 한다.

TTL값이 0이 되는 위치에서 오류메시지를 보내준다. 

0이 되게 1로 보내면 첫번째 장비에서 오류메시지를 보내줄거고 2로 보내면 그 다음 장비에서 다시 나에게 돌아와 오류메시지를 보내줄 것, 따라서 계속 하나씩 늘려 보내다보면 내가 원하는 목적지까지의 장비갯수와 각 장비의 ip주소, 통신 속도 등을 알 수 있게 된다.

 

RTT 왕복시간

---

이때 사용할 tool

 

traceroute -> linux 운영체제

tracert -> window 운영체제

 

traceroute든 tracert프로그램이든 ttl값은 1씩 증가해 오류메시지를 통해 정보를 수집하는 것은 동일하나 문제는 정보 수집을 위해 ttl값을 조정해 보내는 데이터의 종류는 다르다.

 

traceroute: UDP

tracert: icmp echo request 전송

 

icmp는 방화벽에서 막는 경우가 있으므로 막히면 traceroute써야 하고 모르는 주소의 udp는 차단하는 정책이 있으면 또 traceroute를 못 쓴다.

 

경로추적하는 과정에서는 ttl값을 1씩 증가시켜 전송한다 이때 중간에 nat program이 있으면 128로 바뀐다. 1씩 증가를 해야 하는데 nat가 되어있으니까 윈도우 기본 TTL값인 128로 바뀌어버린다는 뜻이다. 바뀌면 바로 통신되어버리는 상황 발생!

 

 

traceroute: UDP

총3개의 ttl=1값을 한꺼번에 보낸다

 

tracert: icmp echo request 전송

한개씩 ttl=1값을 보낸다. 총 3개를 보낸다

---

실습

traceroute 사용

 

tracerote 10.10.10.1

 

wireshark

총 12개를 보낸다.

 

동일한 값 ttl = 1을 세번 보내고 2를 세번 보내고 3을 세번 보낸다.

총 4묶음을 해서 한꺼번에 보낸다.

3개씩 응답으로써 ICMP가 오는 것을 알 수 있다.

 

---

kali -> window로 테스트

 

총 12개가 똑같이 날아간다.

ttl값을 보면 3개씩 총 4묶음으로 날아가는 것을 알 수 있다.

 

 

 

window-> kali

 

tracert 사용

 

 

traceroute랑 달리 echo request를 보내고 

ttl=1을 하나 보내고 응답받고 ttl=1을 보내고 응답받고 ttl=1을 보내고 응답받아 총 3번을 주고받는다.

traceroute는 한번에 세개 보내지만 이건 하나씩 보내서 총 3번 보낸다.

 

---