간단한 ARP spoofing 실습(1) (2018-11-24)

ARP spoofing 을 알아보기 전에 ARP에 대해서 알아봅시다

ARP( Address Resolution Protocol ) : 네트워크 상에서 ip 주소를 물리적 네트워크 주소(mac주소)로 맵핑하기 위해 사용하는 프로토콜.

arp 명령어들(대표적인 것만)

arp -a : 현재 모든 arp 테이블을 확인.

arp -s  ip주소 mac주소 : arp 테이블에 ip주소에 대한 mac주소를 수동으로 입력해 줌.

arp -d : 생성되어 있는 모든 arp테이블을 지움.

ARP spoofing : 근거리 통신망(LAN)환경에서 ARP 메시지의 ip와 대응하는 mac주소를 조작해 공격대상에게 전송하는 공격 기법.

- 해당 ARP 메시지를 수신 받은 희생자는 잘못된 ARP 테이블 정보를 갱신하게 됨.

- ARP 테이블을 조작한 후에는 상대방의 데이터 패킷을 중간에서 가로채는 일종의 중간자 공격 기법(Man In The Middle).

                        

실습하기 전에 중간자 공격의 원리를 알아봅시다

중간자 공격(MITM)의 원리

① 공격자는 서버의 클라이언트에 10.0.0.2에 해당하는 가짜 MAC 주소 CC를 알리고, 서버에는 10.0.0.3에 해당하는

가짜 MAC 주소CC를 알립니다. 

② 공격자가 서버와 클라이언트 컴퓨터에 서로 통신하는 상대방을 나로 알렸기 때문에 서버와 클라이언트는 

각각 공격자에게 패킷을 보냅니다. 

③ 공격자는 각각으로부터 받은 패킷을 읽은 후, 서버가 클라이언트에 보내려던 패킷은 클라이언트에 보내고 클라이언트가 서버에게 

보내려던 패킷은 서버에 보내줍니다.

이제 arp spoofing을 하기 전 간단한 준비

가상머신 : vmware로 진행, kali 리눅스(공격자), window7(희생자)

Ettercap : 중간자 공격 도구, GUI환경과 CLI환경 둘다 지원 (kali에 기본으로 깔려있음)

wireshark : 오픈소스 패킷분석 프로그램,  일종의 패킷 스니핑 도구.