칼리 ip변경
고정ip는 manual
100.100.100.1 255.255.255.0 100.100.100.254
DNS:125.246.95.152
[R1]
config t
hostname HACKER
interface fastethernet0/0
ip address 100.100.100.254 255.255.255.0
no shutdown
exit
interface serial1/0
ip address 1.1.1.1 255.255.255.252
no shutdown
exit
router rip
version 2
network 100.100.100.0
network 1.1.1.0

[R2]
config t
hostname ST
interface fastethernet0/0
ip address 125.246.95.254 255.255.255.0
no shutdown
exit
interface serial1/0
ip address 1.1.1.2 255.255.255.252
no shutdown
exit
router rip
version 2
network 125.246.95.0
network 1.1.1.0

칼리에서 ping 100.100.100.254
라우터설정후 ping 1.1.1.2
ping 125.246.95.254
ping 125.246.95.152
우분투에서 ping 10.0.2.2
칼리에서 ssh master@125.246.95.152로 접속
웹사이트 접속
win7에서
책 p522 참고
nano /etc/bind/st.kr.zone->ip 125.246.95.152로 바꾸고 systemctl restart named
nslookup dvwa.st.kr로 확인

[hacker] [manage]
st@mail.st.kr > master@mail.st.kr
st , master

nano /etc/hostname : mail.st.kr
nano /etc/mail/local-host-names : mail.st.kr

미션
해커의 ping을 차단하라
방화벽의 ICMP에서 차단 가능
R2에서 차단 가능함
ACL차단
표준 ACL은 대역대 전체를 막기 때문에 다른 서비스도 접속불가능
확장 ACL로 차단
1.네트워크(라우터)에서 22포트로 접근하는 100.100.100.1을 차단하라
[적용O]
config t
access-list 100 deny icmp host 100.100.100.1 host 125.246.95.152 echo
access-list 100 permit ip any any
interface serial1/0
ip access-group 100 in
exit
exit
[적용X]
show access-list
config t
no access-list 100

dnsenum
/usr/share/dnsenum/dns.txt > Brute forcing
dnsmap
dnsrecon
fierce

www
mail
web2

#포트찾기
nmap -v -sT -O st.kr
80
22
53
143
110
25
4444
UTM 사용자라면 웹으로 통해 접속 가능한지 확인 가능함
외부에서 UTM접속이 가능하니 외부 접속 차단할것
utm에서 관리 웹어드민 설정 any에서 inside 네트워크로 변경 로그액세스 트래픽 체크

nikto -host st.kr > /var/www/html > /var/log/apache2
nikto -host dvwa.st.kr > /home/dvwa/public_html
dvwa.st.kr > /home/dvwa/public_html/logs/access.log

웹 공격의 패턴을 찾아라
/var/ww/html > index.html
1.관리자에게 알린다
2.스노트 룰을 이용해 탐지한다
3.웹페이지에 접근하는 ip를 차단하라


로그파일 분석하기


3대서버
apt -y install putty-tools
apt -y install mailutils

윈도우에서
pscp -P 22 master@10.0.2.15:/var/log/apache2/access.log c:\log