======================================================================================
DRDoS(Distributed Reflection DoS)

<순서>
- tool을 다운받아 가상의 환경에서 구동하고 패킷캡쳐및 분석해보자.

1. tool을 다운받는다.( 소포폭풍에서 받았다. )
2. http://58ya.tistory.com/16 을 보고 가상의 환경을 만든다.
   - 단방향 환경이라 부족하지만 원리를 이해해보자.

3. binary file이라 README를 읽고 구동해보자.
4. packet을 캡쳐해보자.

##########################################################################

<DRDoS 분산 반사 서비스 거부 공격>

BGP(179)를 이용하여 분산된 Router로부터 spoof된 source IP(victim)로 SYN 보내

SYN+ACK를 VICTIM에 범람케함.

TCP가 손실된 패킷을 자동적으로 다시 보내는 것 때문에

반사 서버들은 SYN을 일으키는 호스트들로부터 받는 것보다

몇 배나 더 많은 양의 SYN/ACK 범람 트래픽을 생성하게 되는 것이다.

공격대상(victim)의 집합 라우터가 들어오는 범람 트래픽(flooding traffic)

의 대부분을 폐기하기 때문에 일어남.


정리해 놓은 것인데 맞는 건지 모르겠다.
어디서 보고 정리한거지-0-;; 와우해커였던 것 같은데;;
##########################################################################

======================================================================================
<사용법>

======================================================================================
< SYN 공격 >

- DoS에서 SYN attack시 source IP를 spoofing해서 SYN을 직접 victim에 보냈었다.
  한마디로 당구를 칠때 알다마를 노쿠션으로 맞춘다.

- DRDoS의 경우 SYN attack시 source IP를 victim의 IP로 spoofing하고 Router에게 보낸다.
  한마디로 당구를 칠때 가락으로 친다.

<  victim IP >                     < Router IP >














- 이와 같이 packet을 만들어보내게 되면 SYN+ACK를 victim에 보내게 되고 공격대상의 앞의
  라우터가 packet을 폐기함으로 인해 TCP의 신뢰전송으로 더 많은 양의 traffic을 발생
======================================================================================
< ICMP 공격>

- DoS 의 smurf 공격처럼 echo reply를 victim에게 보낸다.
  다만, same network가 아니라는 차이

- 위에 사용법에도 나와있지만 그다지 별로 유용해보이지는 않는다.
















======================================================================================
< P.S >

위의 경우는 단방향   

R1--- R2 -----R3 ---  victim PC
          |          
      attacker

으로 구성되어있지만 실제로는 거미줄처럼 얽혀있으므로 router를 거쳐나가며 증폭(?)된다.

DDoS가 포트를 열고 공격자의 명령을 기다리는 것에 반해

특별히 Zombie를 만들고 할 필요가 없다. IP 목록만 있으면 된다.

또한 IP가 spoofing되고 수많은 router들을 거쳐서 공격되기 때문에 공격자를 찾기 더욱 힘들다.


많은 관련 문서를 읽고 다양한 툴과 소스를 다운받아 분석해보자.(아직 이해가 많이 부족하다)
======================================================================================

======================================================================================

==========================================================================

<구성>    IP Address :  192.168(.x.x)

               R1 (.6.1)             (.6.2) R2  (.7.1)   (.7.2) R3
             (  X  )  --------------  (  X  )  -------------  (  X  )
          f0/0 |                      f0/0 |                     f0/0 |
        (.5.2) |                   (.3.2) |                   (.2.2) |
                 |                             |                            |
                 |                             |                            |
           vmnet 1                    vmnet2                  vmnet7
             (.5.1)                      (.3.3)                      (.2.3)
==========================================================================

<순서>

1. VMware를 이용하여 virtual adapter를 만든다.
2. reboot
3. Network device list를 이용하여 LAB을 구성한다.(net파일을 만든다 : Dynamips)
4. Router를  설정한다.
5. VMware 를 이용하여 2개의 이미지를 사용한다.(vmnet2 : debian , vmnet7 : bt3 )
6. traceroute 명령어를 사용하여 경로를 추적해본다.

==================================== 1 ===================================

- Edit-> Virtual Network Settings 에서 Host Virtual Adapters에서 추가해주면된다.

==================================== 2 ===================================

- 네트워크 연결에서 생성된걸 확인하고 reboot



                               

==================================== 3 ===================================

- Network device list(dynamips포함)를 실행하면 NIC List에 정상 출력되는 것을 알 수 있다.





















- List에 출력된 값을 이용하여 net파일을 만든다. (Dynamips)






==================================== 4 ===================================

명령어는 생략 -_-   ( interface에 IP설정 -> ip route로 static방식의 경로 설정 )

- interface에 IP주소를 준다.
- ip route 0.0.0.0 0.0.0.0 192.168.6.2 (R1)
    ...
   R1과 R3는 static으로 가운데로 보냈고 R2만 양쪽 설정해줬다.

==================================== 5 ===================================

- R2에 연결된 이미지에서의 NIC설정 (vmnet2)





















- R3에 연결된 이미지에서의 NIC설정  (vmnet7)
























==================================== 6 ===================================

- R2에 연결된 이미지(debian)에서의 traceroute











- R3에 연결된 이미지(BT3)에서의 traceroute

















==========================================================================

                  Cheeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeer up!!!!!!!!!!!!!!

==========================================================================

=======================================================================================
                                    R2
                          0/0   (  x  )   0/1
                              ／           ＼
                         ／                     ＼
                     ／                                ＼
     0/1       ／                                         ＼  0/1
        (  x  )     [][][][][][][][][][][][]       (  x  ) ---------  (2001:3:3:3::/64)
         R1                 tunnel                      R3       Lo o
  0/0    |                                                        
           |
 (2001:1:1:1::/64)

================================  Progress   ===========================================

- R1 router( fa0/1) 과  R3 router(fa0/1)은 IPv4 주소를 가지므로 통신이 된다. 
- R1 router(fa0/0)의 interface는 IPv6주소를 갖고 
  R3 router의 Loopback 0번 interface와 통신해야한다. (ping으로 확인)
- R1 router(fa0/0)의 interface address를 src address로 하여 ping을 보낸다.
- R2 router에는 IPv6 라우팅 테이블이 없으므로 전달을 할 수 없으므로 
  패킷은 다음과 같은 순서로 싼다.

                                     eth :  ip  :  ipv6  :  icmp6  :  data

- R2 router는 ip header(v4)를 보고 packet을 R3 router로 보낸다.
- R3 router는 ip header(v4: R3의 fa0/1의 주소)를 보고 
  그다음 IPv6 header를 보고 routing table을 참고하여   Loopback interface로 보낸다.
                             
=======================================================================================

capture the frame ( Echo Request  )

                 eth: ip :  ipv6  :  icmp6  :  data




001A ~ 0021 src address, dst address

0022 ~ 0049 IPv6  
                        header안에 뒤에 ICMPv6헤더가 있다는것을 알려준다. (0028 : 3a (ICMPv6) )
                        그 뒤 hop limit 가 나오고  v6주소가 순서대로(src,dst) 나온다.


=======================================================================================

※  바이트 순서(Byte Order)는 방식은 시스템의 CPU에 따라 Little-Endian방식과 Big-Endian로 구분된다.

intel x86계열 CPU는 Little-Endian방식이므로    0x12345678 를 기록할 때 

0x78 0x56 0x34 0x12 하위 바이트가  먼저 메모리상에(번지수가 작은 위치에) 표시된다.

( Big-Endian은 반대이다. 0x12 0x34 0x56 0x78 )

Little-Endian방식의 컴퓨터와 Big-Endian방식의 컴퓨터가 통신할때 패킷은 어떤방식으로 보내야할까?

그래서 네트워크에선 통일되게 '네트워크 바이트 순서(Network Byte Order)'로 Big-Endian방식만을 사용한다.

reference : TCP / IP socket programming by yoon sung-woo
=======================================================================================

위 캡쳐된 화면을 보면 무언가 자연스럽게 순서대로 기록되어있다. (data 값 때문일지도 ;;  암튼)


0052 ~ 0085 : data (hex 00 ~ 33)


CDP : CDP는 이웃하고 있는 장치의 protocol 주소나 platform을 알아올때 사용한다.
           모든 Cisco 장비(라우터,스위치,브릿지등)에서는 CDP가 수행된다.

LOOP : 자기자신의 mac address로 src와 dst를 설정하여 Loop, 
             Configuration Test Protocol 이용
    

==============================================================================
CCNP 수업(신명섭 선생님)때의 LAB을 이용하여 구성해보고,분석하였습니다.
==============================================================================
글을 다 쓰고 내 머리속엔 ICMPv4는 왜 61h(a) ~ 77h(w) 에서 반복되고
ICMPv6는 00h부터 ffh 까지 다 사용할까라는 쓸데없는 생각이 남는다.
NMAP Pattern Analysis 때도 그렇고 요즘 ICMP를 자주 접하게되네-_-
하루가 또 후딱 가버렸군... 한것도 없는데...쩝
==============================================================================