네트워크 해킹 - ettercap의 arp 스푸핑을 이용해 dns 스푸핑하기

우선 ettercap 켠다. 

그리고 eth0에 접근

 

인터페이스 상단에 보면 돋보기 모양이 있는데 이를 클릭해 주변에 존재하는 호스트들을 잡는다. 

 

 

그리고 확인된 아이피 어드레스들 중 라우터(공유기)로 추정되는 것은 Target 1으로 지정하고, 

스니핑(도청)을 당하고자하는 타겟은 Target 2로 지정

 

 

이제 다시 인터페이스에 상단 맨 오른쪽에 지구본 모양이 있는데 이를 클릭해서 ARP poising...을 누른 다음

 

이런 체크 박스 창이 뜨게되면 사진과 같이 "Sniff remote connections."를 체크하고 OK를 눌러 ARP 스푸핑을 시작한다. 

 

 

이제 피해자의 PC를 조작한다. 

cmd에 들어가서 "arp -a"를 실행시켜주게 되면 (ARP 테이블 확인 명령어)

공유기의 물리적 주소가 아래의 다른 컴퓨터(해커)의 맥주소와 일치하는 것을 확인할 수 있다. 

* 다른 컴퓨터(해커)의 주소가 ARP 테이블에 기록이 안돼 있을 수 있음. 

 

이는 공격자의 물리적 주소를 공유기의 아이피 주소에 대칭을 시킨 것으로 앞으로 192.168.0.1(공유기의 아이피 주소)에 대한 요청과 응답을 공격자의 맥주소를 통해서 이루어진다는 것을 의미한다. 

 

 

여기서 ARP 스푸핑을 방지하려면 방어자의 컴퓨터에서 아래의 명령어를 입력해준다. 

arp -s "192.168.0.1" "공유기의 MAC 주소"

-s 옵션은 static을 의미하는 것으로 정적의 형태로 대상 아이피를 관리를 한다는 의미이다. 

 

 

 

다시 공격자의 컴퓨터로 돌아가 dns 스푸핑을 다뤄본다. 

 

 

우선 터미널에서 아래의 명령어를 입력

sudo vim /etc/ettercap/etter.dns

 

에디터의 맨 하단으로 가서 url 주소와 A 그리고 공격자의 아이피 주소를 넣어준다.  

ex)
www.zzz.com	A	192.168.0.24

 

그다음 ettercap으로 다시 돌아가서

 

다시 상단 맨 오른쪽에 옵션 버튼을 클릭해주어서 Plugins를 클릭 

 

Manage plugins 클릭

 

 

그럼 Plugins라는 새로운 탭이 뜨게 되고 이곳에서 dns_spoof를 찾아서 더블 클릭한다. 

 

그럼 바로 dns 스푸핑 공격이 시작이 된다.

 

 

 

공격자는 아파치 서버를 실행시켜 웹 서버를 가동시킨다. 

service apache2 start

 

 

 

다시 피해자의 컴퓨터로 돌아가서

브라우저에서 방금 적어준 url 주소를 넣어 이동을 시켜주면

 

완벽하게 공격자의 아파치 서버에 접속을 하는 것을 볼 수가 있다. 

 

이외에도 Ping을 통해서 url 주소를 넣어주어도 완벽히 공격자에게 ping 요청을 하는 것을 확인할 수 있다. 

 

 

이를 막는 방법은 방어자의 컴퓨터에 있는 host 파일에서 고정하고자 하는 도메인 주소와 아이피를 적어주면 손쉽게 방어가 가능