DNS Spoofing Using Ettercap

DNS Spoofing 이란?

DNS 스푸핑이란 변질된 DNS 데이터가 DNS resolver 캐시에 유입됨으로 네임 서버가 유효하지 않은 결과를 반환하는 것이다. 이를 통해 공격자의 컴퓨터로 공격 우회가 가능하다.

DNS Spoofing 과정

1) 공격자 호스트쪽에서 웹서버 데몬인 아파치 실행
2) 브라우저를 열고 공격자 IP로 접속
3) cat으로 /var/www/html/index.html 의 내용을 확인
4) vi편집기로 /etc/ettercap/etter.dns를 수정한다 /etter.dns 파일은 Ettercap dns_spoof 플러그인의 hosts 파일이다.

• Host 파일이란?
  - 웹브라우저 주소창에 www.google.com 을 입력하면 컴퓨터는 운영체제의 dns cache에 해당 도메인과 매칭되는 IP가 있는지 찾는다
  • cache에 해당 도메인이 없다면, hosts 파일에서 해당 도메인과 매칭되는 IP를 찾는다
  • Hosts 파일에 해당하는 도메인이 없으면, DNS 서버에서 IP를 찾는다
  • 즉, cache를 변조하거나 hosts 파일을 변조하면 DNS 서버를 공격하지 않아도 dns spoofing 공격을 할 수 있다.