본문 바로가기
교육/Security

Day 72 (ARP spoofing)

Mr.6_냥아치 2020. 3. 10. 11:37
반응형

<목차>

1. 목적

2. 사용 툴 & 구성 환경

3. 실습 과정

4. 결과 확인

 

1. 목적

공격자가 임의로 생성한 ARP패킷을 이용해 피해자에게 서버의 MAC주소를 속이고, 서버에게 피해자의 MAC주소를 속여 중간에 이동하는 패킷 정보를 얻어내는 것이다. 일종의 MAC주소 스푸핑이다. 피해자와 서버의 통신이 불가능 하게 하는 것도 가능하다.

fake툴을 이용해 잘못된 MAC주소를 arp패킷으로 송신하여 오작동하게 만들고 fragrouter를 이용해 패킷포워딩하여 통신이 가능하게 한다. 통신이 불가능하게 하는것은 fragrouter를 사용하지 않거나 네트워크상에 존재하지 않는 MAC주소를 이용하면 되기 때문에 실습에서 구현하지 않는다.

 

2. 사용 툴 & 구성 환경

1) fake : apr spoofing공격을 위해 사용하는 툴로 32bit버전만 제공된다. rpmforge나 epl에서 제공된다. 하지만 fake툴 이외에 사용이 편리한 툴이 많이 개발되어 향후 제공여부는 불투명하다.

 

2) send_arp

send_arp <목적지 IP> <공격자 MAC주소> <피해자 IP> <피해자 MAC주소>

arp패킷을 작성하여 송신하는 툴이다. 피해자와 목적지는 서버도 가능하고 클라이언트도 가능하다. 1회성으로 보내기 때문에 지속적으로 보내기 위해서 shell script를 이용한다.

 

3) fragrouter : 공격자가 패킷을 수신한후 피해자에게 통신이 원할하게 되는것처럼 속이기 위해 패킷포워딩을 지원한다.

 

4) 구성 환경

IP MAC OS 역할
192.168.111.29 00-0c-29-08-87-32 Windows XP 피해자
192.168.111.26 00:0C:29:1C:C7:BC Cent OS 6 공격자
192.168.111.152 00:0C:29:B7:77:1B Cent OS 7 Telnet Server

 

3. 실습 과정

fake툴을 설치한다.
공격 전의 ARP정보이다. (위) Telnet Server (아래) 피해자

공격용 arp패킷을 전송하는 shell script를 작성하고 실행한다.

[root@6-32 ~]# vi sarp
[root@6-32 ~]# cat sarp
#!/bin/bash
while [ : ]
do
 send_arp 192.168.111.152 00:0C:29:1C:C7:BC 192.168.111.29 00:0c:29:08:87:32
 send_arp 192.168.111.29 00:0C:29:1C:C7:BC 192.168.111.15200:0C:29:B7:77:1B
done
[root@6-32 ~]# bash sarp

 

공격후 피해자의 ARP정보가 변경되었다.
공격후 Telnet Server의 ARP정보가 변경되었다.

4. 결과 확인

 

피해자가 수신하는 ARP 패킷을 보게 되면 Ethernet헤더에 Telnet Server의 IP(192.168.111.152)에 공격자 MAC주소가 적혀있다. 기본적으로 장치간의 통신은 MAC주소를 기반으로 하기때문에 피해자가 공격자를 Telnet Server로 오인한다는 것을 알수있다. 또한 공격자가 송신하는 ARP패킷이 굉장히 빠른 속도로 수신되기때문에 피해자가 자체적으로 ARP테이블을 점검해도 이상이 없다라고 오인한다.

 

Telnet Server가 수신하는 ARP 패킷을 보게 되면 Ethernet헤더에 피해자의 IP(192.168.111.29)에 공격자 MAC주소가 적혀있다. 기본적으로 장치간의 통신은 MAC주소를 기반으로 하기때문에 Telnet Server가 공격자를 피해자로 오인한다는 것을 알 수 있다. 또한 공격자가 송신하는 ARP패킷이 굉장히 빠른 속도로 수신되기때문에 피해자가 자체적으로 ARP테이블을 점검해도 이상이 없다라고 오인한다.

 

또한 Telnet Server로 접속하여 통신하는 피해자의 패킷 정보를 얻기 때문에 피해자의 계정정보라던지 입력하는 정보들이 노출된다는 위험이 있다.

 

이를 예방하는 것은 불가능 하고, 피해를 최소화하기 위해서는 정상적인 MAC주소에 관한 문서를 작성하고, 지속적으로 MAC주소를 확인 하는 방법 밖에 없다.

반응형
저작자표시 비영리 변경금지

'교육 > Security' 카테고리의 다른 글

Day 73 (Tunneling)  (0) 2020.03.11
Day 72 (DNS spoofing)  (0) 2020.03.10
Day 71 (icmp redirect)  (0) 2020.03.09
Day 71 (ARP Spoofing)  (0) 2020.03.09
Day 70 (Scan)  (0) 2020.03.06

'교육/Security' Related Articles

티스토리툴바