ARP spoofing

ARP Spoofing

 

- 네트워크 구성도

 

 

- 계획

  fragrouter와 arpspoof를 이용한 ARP redirect

1. 대상 컴퓨터에서 공격자 컴퓨터로 패킷이 오면 라우터에 재전송할 수 있도록 만든다.

2. 공격자 컴퓨터에서 대상 컴퓨터로 ARP reply패킷 지속적으로 전송하여 외부 네트워크로 나가는 패킷이 공격자 컴퓨터로 오도록 한다.

3. 대상 컴퓨터에서 외부 네트워크의 컴퓨터와 통신을 시도하면 공격자 컴퓨터에서 대상 컴퓨터가 보낸 패킷이 캡쳐된다.

 

 

 

- 관련 내용

모든 컴퓨터는 MAC주소를 이용해 통신합니다.

이 MAC주소를 알아내기 위해 사용하는 프로토콜은 ARP입니다.

ARP는 sender가 receiver에게 패킷을 전송하기 위해 목적지의 MAC 주소를 요청하는

ARP request패킷을 브로드캐스트하여 요청하는 프로토콜입니다.

목적지에선 요청을 받으면 ARP reply패킷을 전송하고 요청한 호스트는 그 패킷에 기록되어 있는 MAC주소를 ARP 캐시 테이블에 저장합니다.

 

ARP spoofing은 ARP reply패킷을 받으면 ARP 캐시 테이블을 업데이트 하는 특성(ARP redirect)을 이용한 공격입니다.

 

만약 호스트가 통신하고자 하는 컴퓨터와 네트워크 주소가 다르다면 패킷을 바로 게이트웨이로 보냅니다. ARP redirect를 이용해 게이트웨이(라우터)의 MAC주소를 속이면 대상 컴퓨터가 외부 네트워크의 컴퓨터와 통신할 때 패킷을 캡처하고 재전송할 수 있습니다.

 

아래의 그림은 ARP spoofing을 했을 때 패킷 흐름입니다.

 

 

* 노트북으로 wifi를 이용 시 정상적으로 fragrouter가 실행이 되지 않는 경우가 있습니다.

  유선 랜 환경에서 실습하는 것을 권장합니다.

 

 

-수행 과정

1. [root@att6 ~]# fragrouter -B1

공격자 컴퓨터에서 fragrouter를 먼저 실행하여 패킷이 들어온다면 바로 재전송할 수 있도록 합니다. 터미널은 명령을 실행시킨 상태로 둡니다.

 

2. [root@att6 ~]# arpspoof -i eth0 -t 192.168.10.152 192.168.10.1

새로운 터미널을 열고 공격자 컴퓨터에서 arpspoof를 이용해 arp reply패킷을 지속적으로 보내 대상 호스트의 arp 캐시 테이블을 업데이트 시킵니다.

목록을 보면 대상자에게 ARP reply패킷을 지속적으로 보내는 것을 확인할 수 있습니다.

패킷의 내용을 보면 sender IP는 라우터의 IP(192.168.10.1)이지만

MAC 주소는 공격자의 MAC주소(00:0c:29:70:1b:20)로 조작되어 있는 것을 확인할 수 있습니다.

 

3. fragrouter를 실행시킨 터미널

대상자 컴퓨터에서 외부 네트워크로 접속을 요청하면 그 패킷을 확인할 수 있습니다.