ARP spoofing 실습

+ARP cache poisoning

:목표 서버의 트래픽을 가로채기 위해 서버에 잘못된 MAC 주소 정보를 보내 해당 ARP 캐시테이블을 오염시키는 것으로 ARP 프로토콜의 내용을 검증하지 않는 프로토콜 자체의 취약점을 이용한 공격 기법, ARP Spoofing을 하기 위한 선행 단계로 많이 사용함

 

ARP Spoofing

ARP reply 패킷에 담긴 MAC 주소가 실제로 맞는 주소인지 검증을 하지 않기 때문에 공격이 가능함

 

시나리오

1. 클라이언트와 서버간 통신시 공격자가 ARP spoofing MITM이 가능하게 함

2. 공격자 컴퓨터에서 클라이언트에게 ARP reply 패킷을 지속적으로 전송해 서버로 보내는 패킷이 공격자로 오게 함

3. 공격자 컴퓨터에서 서버에게 ARP reply 패킷을 지속적으로 전송해 클라이언트로 보내는 패킷이 공격자로 오게 함

4. 클라이언트와 서버가 통신을 시도하면 공격자 컴퓨터에서 대상 컴퓨터가 보낸 패킷이 캡쳐됨

5. 클라이언트가 서버로 보낸 값을 sniffing할 수 있음

 

1. fragrouter를 이용해 패킷 릴레이 환경 구성

fragrouter -B1

fragrouter는 공격자가 가로챈 패킷을 원래 destination으로 보내주는 역할을 함

B1옵션은 송수신 데이터의 변조 없이 데이터를 그대로 포워딩하는 옵션임

클라이언트 -> 공격자의 패킷을 공격자 -> 서버로, 서버 -> 공격자 패킷을 공격자 -> 클라이언트로 보내줌

 

2. 양방향으로 서버와 클라이언트에게 MAC주소를 속임

서버에게는 클라이언트 ip = 공격자 MAC주소를, 클라이언트에게는 서버 ip = 공격자 MAC라고 알림

arpspoof -i eth0 -t [Target ip] [host]

-i: 인터페이스 지정

-t: 타겟 지정, 첫번째는 목표가 될 타겟이고 두번째 host는 MAC 주소를 변경할 게이트웨이 주소임

10.200.59.18에게 10.200.59.17의 MAC주소는 eth0이라고 함

10.200.59.17에게 10.200.59.18의 MAC주소는 eth0이라고 함

arp -an //arp table 확인

10.200.59.17의 arp table

10.200.59.18의 arp table

10.200.59.17과 10.200.59.18의 arp table에서 서로에 대한 ip의 MAC 값이 공격자 PC의 MAC 값인 00:50:56:b2:78:3c로 변경됨

*여기서 공격자 ip는 10.200.59.15임

 

client -> server로 telnet 접속 시도(10.200.59.17 -> 10.200.59.18로 접속) 후 ls 명령어 

10.200.59.18 -> 10.200.59.17

server에서 ls에 대한 결과를 client로 반환하지만 공격자 PC로 전달됨(Destination의 MAC주소)

공격자 PC는 client로 server가 전달한 결과값을 전달함(Destination의 MAC주소가 client pc의 MAC값임)

 

첫 번째 줄: server가 client(10.200.59.17)로 위장한 공격자 PC로 전달

두 번째 줄: 공격자 PC가 client에게 server(10.200.59.18)인 것처럼 위장해서 packet 전달

 

 

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=139&seq=5122&dir_group_dist=&dir_code=014&menu_dist=3