DNS Spoofing

주의사항 : 실제로 공격이 통할 수 있으니 실제로 사용하지 마십시오. 

 

※ 선행지식 = ARP Spoofing

 참고URL = https://ccurity.tistory.com/174?category=657369

 

 

1. DNS Spoofing

▶ 도메인 네임 시스템에서 전달되는 IP주소를 변조한다.

 

1) 환경

- kali linux 2018.1 운영체제의 공격자 클라이언트

- 공격자 클라이언트에 설치된 dnsspoof 프로그램

- 공격자 클라이언트에 생성한 변조할 fake.hosts 파일

- 희생자가 연결될 웹 서버(docker이용)

- windows 7 운영체제의 희생자 클라이언트

 

2) 시연(ARP Spoofing이 성공한 상태에서 진행)

 [1] 희생자의 hosts 파일의 상태를 확인

 

  ▶ C:\Windows\System32\drivers\etc\hosts 파일을 확인한다.

  ▶ 특정 도메인에 대한 IP주소가 있는지 살펴본다.

  ▶ 만약 있다면 지워주어야 한다.

 

 [2] 희생자가 접속할 웹서버를 설치

  ▶ 먼저 희생자가 접속하게 될 피싱사이트를 생성한다.

  ▶ 위의 경우 도커 컨테이너를 사용하여 간단하게 apache의 기본페이지를 생성하였다.

  ▶ 도커컨테이너 생성(run) - 시작(start) - 접속(attach) 순서로 진행한다.

  ▶ apt-get update => 패키지 관리툴인 apt-get 정보를 업데이트 한다.

  ▶ apt-get install apache2 => 아파치 웹서버를 설치한다.

  ▶ systemctl status apache2 => 정상적으로 설치된 것을 확인한다.

 

 [3] 컨테이너[피싱사이트]의 웹서비스 시작

  ▶ [service apache2 start] 명령어를 이용하여 서비스를 시작한다.

 

 [4] 컨테이너가 연결된 포트번호 확인

  ▶ sudo docker port [컨테이너ID] 명령어를 이용하여 원하는 컨테이너의 포트정보를 확인한다.

  ▶ 호스트의 7777번 포트가 컨테이너의 80번으로 연결된 것을 확인한다.

 

 [5] hosts 파일 생성

 

  ▶ 공격자의 호스트에 fake.hosts 파일을 생성한다.

  ▶ 200.1.10.116:7777(도커의 호스트주소:컨테이너와 연결된 포트번호)과 도메인주소를 적어준다.

  ▶ dnsspoof 사용방법 = # dnsspoof -i [인터페이스명] -f [hosts 파일경로]

 

 [6] 희생자의 웹 접속

  ▶ 희생자가 test.com으로 접속하자 200.1.10.116의 7777번 포트의 웹서버로 연결한 것을 확인할 수 있다.

  ▶ 희생자가 도메인을 입력하면 진짜 정보가 들어오기 전에 공격자가 만들어 놓은 웹사이트로 접속하게 된다.

 

3) 대응방안

 [1] ARP Soofing가 선행이 되어야 하기 때문에 ARP 테이블을 정적으로 변경한다.

 [2] 중요한 사이트는 hosts에 기록해 놓는다.

 [3] 패킷을 모니터링한다.