간단한 ARP spoofing 실습(2) (2018-11-24)

우선 피해자(window7)의 환경에서 ipconfig 라는 명령어를 사용해 피해자의 IP주소와 기본 게이트웨이를 알아냅니다.

피해자 ip: 192.168.81.132

기본 게이트웨이: 192. 168.81.2

그리고 저번 글에서 설명 드렸던 arp -a 명령어를 사용해서  피해자의 바뀌기 전 물리적 주소를 확인해주고

이제 공격자PC(kail) 로 넘어와서 ifconfig 명령어를 사용해서 공격자 자신의 mac주소가 99인 것을 확인합니다. (나중에 mac주소 비교위해)

그런 다음 본격적으로 arp 스푸핑 공격을 시행합니다.

여기서 ettercap 도구를 사용하는데 , 명령어들을 풀이하자면

-T : 텍스트 옵션 

eth0 : 공격자(자신)

-M : 중간자공격 옵션 

arp: remote /기본게이트웨이// /피해자ip//       <- 여기서 / 와 //  구분하면서 작성하는 것에 주의

그래서 위와 같이 공격을 시행하면

 

피해자PC에서 다시 arp -a를 했을 때 피해자의 mac주소가 공격자의 mac주소인 '99'로 바뀌어 있는 걸 알 수 있고,

피해자PC에서 wireshark를 통해 패킷분석을 해보면 ARP프로토콜 인 것을 보아서 공격자가 가짜 mac주소를 계속 

피해자한테 보낸다는 것을 확인이 가능.  즉, 성공적으로 공격이 시행되고 있다는 걸 알 수 있습니다.

여기서 더 응용을 해보면

예를 들어, 피해자PC에서 포털사이트에 접속해서  'hansei'를 검색합니다.

그러면 공격자PC에서 wireshark를 통해 피해자PC에서 전송되는 패킷을 캡쳐할 수 있고,

검색 기록을 보기 위해서 HTTP 프로토콜로 범위를 제한해서 아무 패킷을 눌러서 TCP Stream으로 확인하면

아까 피해자PC에서 검색했던 hansei 를 공격자PC에서도 확인을 할 수 있게 됩니다.

이렇게 피해자의 검색 기록을 확인하는 등 ARP 스푸핑 공격 기법은 다양하게 응용이 될 수 있습니다.

스푸핑 공격을 멈추고 싶으면, ctrl+c 를 눌러 공격을 멈출 수 있습니다.

멈추고 나서 다시 피해자PC에서 arp -a를 하면 피해자의 mac주소가 공격자의 mac주소인 99에서 

다시 원 상태로 복귀된 걸 확인 할 수 있습니다.

이렇게 ARP spoofing 실습을 끝마치도록 하겠습니다.

실습 영상

촬영 도구:  oCam