[Kali] arp_spofing

모의해킹 실습을 해 보자. 

먼저 피해자 컴퓨터는 원도우 7이고, 방화벽 적용X, 웹 서버 X 인 상태로 진행할 것이다. 

 

실습을 진행하기 앞서, Vmware 에서 NAT 설정을 꼭 해주어야 한다. 

NAT 설정

또한, 피해자 컴퓨터(윈도우) 에서 방화벽 해제를 하도록 하자. (윈도우 방화벽은 ping-icmp 를 차단하기 때문)

방화벽 해제, 

만약 방화벽을 해제하지 않으면

피해자 PC(윈도우) -> 공격자(Kali) 까지 ping 은 나가는데, 

공격자 PC(Kali)     -> 피해자(윈도우) 의 핑은 나가지 않게 된다. (왜그런지 모르겠으면 방화벽에 대해 공부하고 오자.)

 

쨋든 위와 같은 환경을 구축했으면 서로 ping 이 나가는지 확인해 보자. 

서로 ping 이 나가는지 확인했으면 이제 arp_spoofing, ip_spoofing, dns_spoofing 에 대해 공부하겠다. 

 

 

이번엔 arp_spoofing 에 대해 알아보자. 

arp_spoofing 이란? => arp + spoofing

arp : IP 주소와 MAC 주소를 대웅시키기 위해 사용되는 프로토콜 

spoofing : 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다.

=> 같은 네트워크 대역에서 ARP 를 이용해 상대방의 데이터 패킷을 중간에 가로채는 것

 

그림으로 보자.

 

간단히 말해 다음과 같이 표현된다고 하는게 맞는 것 같다. 

여기서 약건의 설명을 곁들이자면

A와 B사이에 공격자가 들어갔다.

본래는 A 와 B 가 정상적으로 통신하고 있었는데, 

공격자가 들어가서

A에게 공격자의 MAC 주소를 B의 MAC 주소인 것처럼 속이고, 

B에게 공격자의 MAC 주소를 A의 MAC 주소인 것처럼 속이는 것이다. 

-> 이렇게 되더라도 정상적인 통신이 된다. 

이로서 공격자는 이 패킷들을 통해 메세지를 읽을 수 있다. 또한 이를 응용해 피싱 사이트로 유도할 수도 있다. 

 

이를 확인하는 방법은 피해자 컴퓨터에서 arp -a 명령어를 통해 알 수 있는데, 이는 잠시후에 보이도록 하겠다. 

 

위 공격을 하기에 먼저 다음을 설치해 주자.

# apt-get install dsniff
# apt-get install fragrouter

 

설치가 모두 되었다면 다음과 같이 입력해 주자.

arpspoof -t 피해자IP 피해자gateway

 

그리고 피해자 PC 에서 arp -a 명령어를 입력해 ARP 테이블을 확인해 보자.

공격전

공격후

이를 보면 피해자 PC의 게이트웨이 MAC 주소와

공격자 PC의 MAC 주소가 서로 같아진 것을 확인할 수 있다. 

 

그리데, 피해자 PC 에서 인터넷 접속을 하면 갑자기 접속이 안된다. 

이는 따로 gateway가 존재하지 않아서 이렇게 된다.

(만약 실제로 이러한 방법으로 해킹을 진행하게 되면 상관 X) 

(이는 패킷이 중간에 잡혀 있으므로 그런다)

=> 이에 대해 예를 들어보자면 위의 그림에선 공격자가 중간에 존재했지만, 

지금 환경에서는

피해자PC -> 공격자PC 로만 되어 있기 때문이다. (그림을 준비해야 하는데, 저장 안하고 꺼버려서... 죄송합니다)

 

여기서 터미널을 하나 새로 열어 fragrouter -B1 을 입력해 보자. 

(혹은 echo 1 > /proc/sys/net/ipv4/ip_forward 를 입력해 ip_forward 를 해줘도 된다.)

막 이렇게 컴퓨터의 패킷을 엿볼 수 있다. 

피해자 컴퓨터도 다시 인터넷에 연결되었다. 

 

 

이 외에 tcpdump 나 wireshark 로도 패킷을 확인 할 수 있다. 

만약 취약한 사이트에서 id 나 pw를 입력한다면 패킷에 보일 것이다. 

 

+ 여담

ARP spoofing 공격은 실제로 당했을 시 공격당했다는 것을 판단하기 어렵기 때문에, 

관제쪽에서 이를 탐지하고 제제한다고 한다. (ㄷㄷ..)