336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

[BackTrack] 백트랙을 이용한 arp 스푸핑 및 dns 스푸핑 테스트

 

 

 

 

위 그림에서 사용자가 인터넷을 하는 경로는

 

"192.168.10.33  --->  스위치  --->  192.168.10.1(게이트웨이)  --->  인터넷" 과 같습니다.

 

즉 트래픽 Flow는 1 -> 3 의 방향입니다.

 

 

 

 

 

그러나, 만약 해커가 게이트웨이 IP에 대한 MAC을 위조하여 본인이 게이트웨이라고 broadcasting을 한다면,

 

사용자는 인터넷을 할 때 1 -> 2 의 경로를 거치며 인터넷이 되지 않습니다.

 

바로 arp spoofing 입니다.

 

 

 

 

 

또한 이때 해커가 fragrouter 기능을 활성화 할경우,

 

경로는 1 -> 2 -> 3 으로 변경되며 사용자의 입장에서는 arp spoofing 공격이 진행되는 지 모르게(?)

 

인터넷이 잘 됩니다.

 

 

 

 

 

그리고 arp spoofing -> fragrouter 가 적용된 환경에서 해커는 dns spoofing을 통해 사용자의 dns를 변조하여

 

웹사이트 접속 시 임의의 사이트로 우회 접속을 하게 할 수 있습니다.

 

 

 

 

 

# 테스트 방법

 

1. BackTrack에서 다음과 같이 명령어를 입력합니다.

 

arpspoof -i eth1 -t 192.168.10.33 192.168.10.1

 

 

 

여기서 -i 는 인터페이스, -t 는 Target(사용자), 192.168.10.1 은 게이트웨이(host) 입니다.

 

위 명령어 수행 시 Target은 잘못된 게이트웨이로 통신을 하므로 인터넷이 안 됩니다.

(물론 게이트웨이의 mac address가 잘못된 점을 아실 수 있습니다.)

 

 

 

 

 

2. 다음은 우리나라 사람이 개발한 fragrouter 명령을 사용하여 트래픽을 우회 시킵니다.

 

fragrouter -i eth1 -B1

 

 

마찬가지로 -i 는 인터페이스, -B1 은 normal IP forwarding 옵션입니다.

 

위 상황에서 사용자는 인터넷이 되지만, fragrouter를 실행시킨 해커 PC를 거쳐 트래픽이 흐릅니다.

 

경로는 앞에서 설명한 바와 같이 1 -> 2 -> 3 입니다.

 

 

 

 

 

3. 마지막으로 dns spoofing 테스트 입니다.

 

dnsspoof -f hosts.txt

 

-f 옵션은 파일을 지정합니다.

 

dnsspoof 를 실행하기 전 해커는 hosts.txt(임의의 파일명 가능)를 다음과 같이 만듭니다.

 

저의 경우 사용자가 네이버를 접속할 때 구글로 강제접속 하게끔 파일을 만들었습니다.

 

 

 

이상으로 arp spoofing 및 dns spoofing 테스트를 마칩니다.

 

 

 

 

 

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
[정보] 스위치 보호 설정(Arp Spoofing 대비)

# Mac Address Flooding 공격 보호

Switch#int fa0/1
Switch(config)#switchport port-security maximum 5     // 접속가능 최대허용 맥주소 개수 5개
Switch(config)#switchport port-security mac-address H.H.H     // 접속할 맥주소 지정
Switch(config)#switchport port-security violation [protect/restrict/shutdown]     // 설정위반시 실행모드

- 시스코 기준



+ Recent posts