35일차 TCP/IP ARP Spoofing

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다.

  게시된 내용들은 잘 알려져있는 기술들입니다. 따라서  악용하더라도 쉽게 적발되니

  절대 악용해서는 안됩니다.

--------------------------------------------------------------------------------------------

5번 라우트 변경(redirect)는 

라우터가 목적지 주소로 가는 더 좋은 경로를 알려준다.

icmp 5번타입으로 서버나 host에게 알려주게 되고 그것을 학습하게 된다.

ipconfig /displaydns 로 dns 캐시를 볼 수 있다.

지워줄 수도 있다.

www.webhack.com(win2000에 만들어둔 웹서버)에 접속하게 되면 dns쿼리를 먼저 하게 되는데 dns서버의 맥주소를 알아오는 arp를 보낸다.

그다음 dns쿼리를 보내고 쿼리로 알아온 웹서버의 맥주소를 알아오는 arp를 보내게 된다.

* ARP 관련 공격

- ARP 문제점

Request를 받지 않아도 Reply를 보낼 수 있다.

응답자가 보낸 MAC의 진위 여부를 확인 할 수 없기 때문에 조작이 가능하다.

ARP Table이 Dynamic으로 유지가 되고 있다면, reply가 온 정보를 무조건 수정해야한다.

스위치에서 어떠한 공격을 하던 MITM 환경을 만드는 것에 주력한다.

그중 기본적인 방법이 arp spoofing이다.

* ARP Spoofing Attack

ARP cache poisoning이라고도 한다.

공격자가 원하는 경로로 변경 할수 있게 된다.

항상 먼저 forwarding해줘야 한다는 주의점이 있다. 안그러면 drop 하게 되고, victim은 이를 이상하게 여길 수 있다.

Kernel은 TTL을 하나씩 까기 때문에 Traceroute로 확인 가능하다.

타겟을 지정안하면 broad로 보낸다.

arp 학습 시키고

백트랙에서

10.10.10.1(xp)에게 내가 10.10.10.2(win2000)이라고 속이는 패킷이다.

패킷을 잡아보면

출발지가 10.10.10.2 라고 보내고 있다. 맥주소는 내껀데

xp arp 테이블에서 맥주소가 바뀐게 보인다

그 상태에서 win2000에게 ping을 보내본다.

사실상 backtrack에게 가고 있는 상황이다.

위와 같이 포워딩을 해주면

핑이  잘간다.

물론 백트랙을 거쳐서 가는 것이다.

echo reply는 win2000에서 바로 xp로 보내기 때문에, 훔쳐 볼 수 없다.

공격자는 Backtrack

공격자가 xp에게 arp reply를 보냄

xp는 arp request를 보내는 순간 공격자의 reply를 받고 win2000의 ip와 공격자 mac주소를 매칭시킴.

arp 캐시 테이블 수정

xp가 win2000의 ip로 ping 하면

공격자의 pc로 icmp가 옴

[ src/xp mac , dst/공격자 mac

  src ip/xp ip , dst/win 2000 ip ]

이 때 공격자가 포워딩이 되있으면

win2000은

[ src/공격자 mac , dst/win2000 mac

  src/xp ip , dst/win2000 ip ]

로 받음

이 때 win2000은 공격자 mac, xp ip를 둘다 받게 되는데

ip를 보고 다시 arp테이블을 보고 mac을 매칭시키는 건지 궁금했는데.

최근에 받은 패킷과 상관없이 자신이 가지고 있는 테이블을 참조하여 보내게 된다고 한다.

인터넷 통신을 하고 있는 것을 스니핑 하려면

arpspoof -i ethX -t <XP IP> <GW IP>

arpspoof -i ethX -t <GW IP> <XP IP> 

해주면 되겠다.

백트랙이 Redirect 메시지를 계속 xp 에 보내는 이유는 간단하다.

더 좋은 경로가 있으니 내게 보내지 말라는 메시지다. 포워딩과는 무관하다.

애플리케이션을 이용한 포워딩 방법이다.

물론 아까 바꾼 값을 0으로 다시 바꾼후에 해야한다.

arp spoofing은 스위치 환경에서 MITM 상태를 만들기 위함이다.

Static으로 잡아주는 건 게이트웨이만 해당된다 그 외에 내부망은 타겟으로 선정하기에 적절하지 않기 때문이다.

정상적인 게이트웨이 맥주소를 스태틱으로 설정해주고

xp에 arp 공격을 다시 해보겠다.

xp에서 핑은 정상적으로  가지만 백트랙은 그 패킷을 잡을 수 없었다.

* IP Spoofing 

IP Filter 우회

위치정보 숨기기 위해서

원격지 IP Spoofing은 원칙적으로 불가능하다.

공격 대상인 리눅스에서 sshd 서비스를 시작해주고

백트랙에서 리눅스로 ssh 접속을 시도한다.

xp 에서 ssh 로 접속 시도.

역시 또한 잘된다.

/var/log/secure에 로그가 그대로 남아버린다.

공격자인 백트랙은 win2000이 접속한 것처럼 속일 예정이다.

현재 리눅스 arp 캐시테이블

백트랙 가상의 인터페이스에서 win2000(10.10.10.2)와 동일한 ip를 부여

ssh -b 옵션으로 10.10.10.4에 연결

하지만 

SYN은 10.10.10.4에 보내지만 SYN/ACK는 10.10.10.2에 가기 때문에 연결이 되지않는다.

그렇기 때문에 ssh 서버를 속여서 10.10.10.2를 공격자가 쓰고 있다는 arp posioning으로 공격한다.

스푸핑

성공한 모습.

10.10.10.2 로 접속됐다고 나온다.