ARP Spoofing 실습

개요

ARP 스푸핑(ARP spoofing)은 근거리 통신망(LAN) 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다. 이 공격은 데이터 링크 상의 프로토콜인 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격이다. 이 기법을 사용한 공격의 경우 특별한 이상 증상이 쉽게 나타나지 않기 때문에 사용자는 특별한 도구를 사용하지 않는 이상 쉽게 자신이 공격당하고 있다는 사실을 확인하기 힘들다.

 

환경

Kali Linux[192.168.0.15]

CentOS[192.168.0.171]

 

실습 

칼리 리눅스 ARP 테이블

arp -a 명령어로 ARP 테이블 확인(만약 ARP 테이블에 게이트웨이 주소와 피해자 PC의 주소가 없을 경우 fping -g 192.168.0.0/24 옵션으로 ARP 테이블 갱신)

 

ARP Spoofing 진행

sudo arpspoof -i eth0 -t 192.168.0.171(피해자PC) 192.168.0.2(게이트웨이) 명령어로 ARP Spoofing 

 

CentOS ARP 테이블

피해자 PC에서 ARP테이블을 확인한다면 게이트웨이 MAC주소와 공격자PC[192.168.0.15] MAC주소가 동일한 것을 확인할 수 있음

 

 

CentOS 인터넷 접속 불가

ARP Spoofing을 받는 피해자PC는 인터넷에 접속이 불가(공격자PC가 피해자PC의 패킷을 가로채기 때문에 웹서버로부터 응답을 받을 수 없음)

 

칼리 리눅스 와이어샤크 패킷 캡처

칼리 리눅스 wireshark에서 패킷의 출발지가 CentOS인 것을 확인 할 수 있음(ARP Spoofing 공격 성공) 하지만 현재 상황에서는 칼리 리눅스가 패킷을 가로채어 가지고 있기 때문에 이 패킷을 접속 사이트에 뿌려주어야 함(중요)

 

칼리 리눅스 패킷 포워딩

그러기 위해선 패킷 포워딩이 필요함

사진은 fragrouter 툴을 이용해서 가로챈 패킷을 접속하려는 주소에 직접 뿌려주는 패킷 포워딩 과정

 

CentOS 네이버 접속 성공

패킷 포워딩을 해준다면 CentOS는 웹사이트에 접속할 수 있음

 

여기까지의 과정을 사진으로 요약하자면

ARP Spoofing 동작

이 사진이 딱인듯

왜 ARP Spoofing이 중간자 공격(MITM)이라고 불리는지 사진에 정확하게 나와있음

 

 

 

 

사진 출처: https://www.thesslstore.com/blog/everything-you-need-to-know-about-arp-spoofing/

Everything You Need to Know About ARP Spoofing

---

케이쉴드주니어 9기 기초 교육에서 ARP Spoofing 실습 시간이 있어 점심시간에 잠시 정리해봄

학부과정중에 이미 한차례 실습했었지만 다시 공부해보니까 까먹었던게 다시 생각나서 좋은듯 ㅎㅎ