arp spooping

이번시간에는 arp 스푸핑에 대해서 알아본다.

여기선 같은 네트워크내에서 공격자가 게이트웨이로 위장하여

네트워크안에 호스트들의 정보를 스니핑하는 방법에 대해 살펴본다.

작업환경:  백트랙(공격자, 192.168.26.128)

   칼리리눅스(타겟 호스트, 192.168.26.129)

   해당 네트워크 게이트웨이 주소(192.168.26.1)

fake 를 다운받는다. (arp spooping 하기위한 도구)

#apt-get install fake

내 컴터는 현재 다운받은 상태여서 이미 다운받은 상태라고 표시된다.

다운 받고나서 

#send_arp 를 치면

저렇게 동작하면 정상적으로 설치된것이다.

그다음

#arp 를 치면 arp 테이블이 나온다.

같은 네트워크의 호스트가 안보인다면

해당 호스트로

ping 을 날리고나면 arp 테이블에 기록될 것이다.

이 네트워크의 게이트웨이는 192.168.26.1 이된다.

이로써, 게이트웨이 ip, mac주소  and  해당 호스트 ip, mac주소를  획득했다.

그런다음

공격자 측에서 

#send_arp 송신ip, 송신mac, 수신ip, 수신mac

이렇게 입력을 한다.

이 명령어의 해석은.

게이트웨이(192.168.26.1) 의 맥주소는 00:0c:29:9d:69:ea 이거다 !  라고

타겟호스트(192.168.26.129)에게 알린다.

그러면 타겟호스트는

게이트웨이 맥주소가 바꼇다는걸 알고 바뀐 맥주소로 데이터를 보내게된다.

바뀐 맥주소는 공격자의 맥주소이다.

그러므로 공격자는 호스트가 인터넷을 통해 보낼려는 정보를 모조리 도청할수 있게 되는것이다.

타겟 호스트 arp 정보를 보면..

이렇게 게이트웨이주소(192.168.26.1)가  공격자(192.168.26.128)의 맥주소로 바뀐것을 알수있다.

그런다음 

공격자가 와이어샤크를 띄어서 호스트가 해당 목적지로 ping 때리는 것을 캡쳐해 보겠다.

호스트가 해당 목적지로 ping 때리는 모습이다.

그런다음 공격자가 와이어샤크로 패킷을 캡쳐한 모습니다.

각각 icmp 패킷 request, reply가 한쌍씩  4개가 온것을 확인할수 있다.

결론적으로..

공격자는 해당 네트워크의 게이트웨이로 위장하여

모든 호스트가 보내는 패킷을 도청할 수 있게 되었다.