[BackTrack] 백트랙을 이용한 arp 스푸핑 및 dns 스푸핑 테스트
위 그림에서 사용자가 인터넷을 하는 경로는
"192.168.10.33 ---> 스위치 ---> 192.168.10.1(게이트웨이) ---> 인터넷" 과 같습니다.
즉 트래픽 Flow는 1 -> 3 의 방향입니다.
그러나, 만약 해커가 게이트웨이 IP에 대한 MAC을 위조하여 본인이 게이트웨이라고 broadcasting을 한다면,
사용자는 인터넷을 할 때 1 -> 2 의 경로를 거치며 인터넷이 되지 않습니다.
바로 arp spoofing 입니다.
또한 이때 해커가 fragrouter 기능을 활성화 할경우,
경로는 1 -> 2 -> 3 으로 변경되며 사용자의 입장에서는 arp spoofing 공격이 진행되는 지 모르게(?)
인터넷이 잘 됩니다.
그리고 arp spoofing -> fragrouter 가 적용된 환경에서 해커는 dns spoofing을 통해 사용자의 dns를 변조하여
웹사이트 접속 시 임의의 사이트로 우회 접속을 하게 할 수 있습니다.
# 테스트 방법
1. BackTrack에서 다음과 같이 명령어를 입력합니다.
arpspoof -i eth1 -t 192.168.10.33 192.168.10.1
여기서 -i 는 인터페이스, -t 는 Target(사용자), 192.168.10.1 은 게이트웨이(host) 입니다.
위 명령어 수행 시 Target은 잘못된 게이트웨이로 통신을 하므로 인터넷이 안 됩니다.
(물론 게이트웨이의 mac address가 잘못된 점을 아실 수 있습니다.)
2. 다음은 우리나라 사람이 개발한 fragrouter 명령을 사용하여 트래픽을 우회 시킵니다.
fragrouter -i eth1 -B1
마찬가지로 -i 는 인터페이스, -B1 은 normal IP forwarding 옵션입니다.
위 상황에서 사용자는 인터넷이 되지만, fragrouter를 실행시킨 해커 PC를 거쳐 트래픽이 흐릅니다.
경로는 앞에서 설명한 바와 같이 1 -> 2 -> 3 입니다.
3. 마지막으로 dns spoofing 테스트 입니다.
dnsspoof -f hosts.txt
-f 옵션은 파일을 지정합니다.
dnsspoof 를 실행하기 전 해커는 hosts.txt(임의의 파일명 가능)를 다음과 같이 만듭니다.
저의 경우 사용자가 네이버를 접속할 때 구글로 강제접속 하게끔 파일을 만들었습니다.
이상으로 arp spoofing 및 dns spoofing 테스트를 마칩니다.
