ARP Spoofing (ettercap 모의 실습)
이 활동은 가상으로 구현된 모의 환경에서 실습을 다룹니다.
이 활동은 교육목적으로 진행하며 게시글 또한 불법이 아닌 교육목적으로 게시한 글임을 알립니다.
허가받지 않은 시스템의 접근과 해킹은 불법입니다.
공격 서버는 Kali 피해 PC는 Linux에서 실습한다.
공격자(Kali)는 피해자(Linux)가 Telnet 서버를 접속하는 패킷을 수집 및 분석하여 사용자의 ID, PW를 탈취한다.
피해자는 공격자의 패킷을 탐지하고 분석한 뒤 대응한다.
sniff - unified sniff - eth0
host - host list - scan for hosts
이후 타겟 1, 2를 지정 (Add to Target 1,2)
Targets - current targets 으로 타겟들을 확인한다.
그리고 Mitm - ARP poisoning
Sniff remote connectons 체크
ARP poisoning 이후 타겟을 한번 더 잡을 필요는 없다.
터미널에서의 arpspoof 명령어 처럼 타겟1, 호스트 호스트 타겟1 이렇게 두번 보내줄 필요 없이
ettercap에서 양쪽에 arp 패킷을 보내고 있기 때문이다.
이제 피해자(Linux)에서 웹 브라우저에 접속해보겠다.
firefox로 example.com 에 접속한다.
ID : admin
PW : admin
정보로 로그인한다.
성공적으로 로그인이 되었다.
공격자(Kali)의 ettercap에서 로그인과 암호 정보를 확인할 수 있다.
이 정보 (ID, PW) 로 접속하려는 ip 주소를 입력해
공격자(Kali)에서 접속이 가능하다.
또한 패킷 변조도 가능하다.
Kali에서 test.filter 파일을 생성해준다. (vi test.filter)
etterfilter를 사용해서 test.filter 파일을 test.ef 파일로 컴파일 해준다.
ettercap에서 filters - load filter
root 디렉토리에 test.ef 파일이 있다.
피해자(Linux) PC에서 원하는 호스트 접속 후 로그인 시
변조된 패킷을 받는 것을 확인할 수 있다.
그렇다면 이런 ARP Spoofing을 막기 위한 방법에는 무엇이 있을까?
- ARP 테이블을 정적으로 관리하는 방법
하지만 mac 주소를 관리하고 변경하는 것이 불편하다
컴퓨터를 종료하면 전부 날아가기 때문에 킬 때마다 다시 설정이 필요하다.
- ARP 스푸핑 탐지, 방어 소프트웨어나 장비를 이용한다.
XARP 같은 소프트웨어를 사용해서 ARP 스푸핑을 감지하고 보안 수준을 설정할 수 있다.