네트워크 arp 스푸핑

ARP 스푸핑!!!!!!!!!!!!!!!!!!!!!!!!!!!!

ARP 스푸핑(ARP spoofing)은 근거리 통신망(LAN) 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다. 이 공격은 데이터 링크 상의 프로토콜인 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격이다.

이 기법을 사용한 공격의 경우 특별한 이상 증상이 쉽게 나타나지 않기 때문에 사용자는 특별한 도구를 사용하지 않는 이상 쉽게 자신이 공격당하고 있다는 사실을 확인하기 힘들다.

 

공격자가 의도적으로 특정 IP 주소와 자신의 MAC 주소로 대응하는 ARP 메시지를 발송하면,

그 메시지를 받은 장비는 IP 주소를 공격자 MAC 주소로 인식하게 되고,

해당 IP 주소로 보낼 패킷을 공격자로 전송하게 된다.

이 때 공격자는 그 패킷을 원하는 대로 변조한 다음 원래 목적지 MAC 주소로 발송하는 공격을 할 수도 있다.

 

 

 

 

 

apt-get install dsniff

ARP스푸핑 할려고하는 툴 다운로드 (칼리리눅스)

 

arpspoof

여기서 Nat settings를 누르면 거기서 설정을~!! 바꿀수있다

 

 

arpspoof -i eht0 -t 192.168.0.128 192.168.0.2

 

 

 

---------------------------------------------------------

이더넷 설정변경(centos))!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

 

 

쓰고있는 eh0으로 변경하여야함

centos

ens33 을 eth0 으로 이더넷이 같아야해서. 하지만 centos 는 ens33 으로되어있고

칼리는 eth0으로되있어서 eth0으로변경

 

centos---------터미널에서치기

vi /etc/default/grub

 

esci키+ i 눌러서 편집모드진입

~~~~~/swap [net.ifnames=0] rhgb quite"

괄호뺴고 net.ifnames=0 삽입

 

esc 누르고 :wq 로 저장후 나오기

 

grub2-mkconfig -o /boot/grub2/grub.cfg

 

cd /etc/sysconfig/network-scripts

 

 

mv ifcfg-ens33 ifcfg-eth0 로지우고

 

vi ifcfg-eth0

 

그리고 마지막 reboot

 

centos 에서>>ifconfig 쳣을떄eth0 으로바뀐걸 확인할수있다.

 

 

 

arp -a 현재 MAC 테이블 확인 명령어

route -n 게이트웨이 주소확인

 

타겟centos 192.168.80.131 00:0c:29:04:be:9a

공격자(칼리) 192.168.80.132 00:0c:29:90:2a:8f

게이트웨이 192.168.0.2 00:50:56:ed:f7:e0

 

arpspoof -i eth0 -t 192.168.80.131 192.168.80.2

타겟아이피(centos) 게이트웨이

 

공격하는사람이 칼리의 맥어드레스로 바껴야한다

 

플래그 라웅터

 

arpspoof -i eth0 -t 192.168.80.131 192.168.80.2햇을떄

 

arpspoof -i eth0 -t 192.168.80.131 192.168.80.2 안했을때

gateway 맥주소가 칼리의 맥주소로 바꾼걸알수있다

 

centos에 gateway가 설정되면 gateway mac주소 확인을 위해 arp 요청

 

gateway 는 이 신호를 받고 arp 응답으로 mac주소를 보내줌

 

arp 응답은 아래와 같은 형태를지님

src dsc mac

gateway ip centos ip gateway mac 주소

 

칼리가 arp응답이 오는 상황에서

src dsc mac

gateway ip centos ip kali mac 주소

 

 

 

gateway 맥주소가 칼리의 맥주소로 바꾼걸알수있고

centos에서 www.daum.net 을했을떄

centos에서 열리지않고 칼리에게 전달이된다는걸 알수있다!

이걸이용해서 나중에 페이크사이트로 유도를해볼수도있을거같음

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

flag router

wireshark로 지나다니는걸 확인

 

 

kali에서

apt-get install fragrouter 설치하기

 

fragrouter --help 포트설정보기

 

 

칼리 터미널 3개킨뒤에 하나씩

 

fragrouter -B1 포드포워딩 중간 역학을해준다. 이걸안쓰면 타겟이 그사이트에접속이안되

 

arpspoof -i eth0 -t 192.168.80.131 192.168.80.2

 

​

​

​

wire shark

​

 

 

 

 

arp spoofing과

포트포워드 기능을이용해서

 

상대방이 하고있는정보를 알수있다.