ARP Spoofing 실습

✏️ 21-2 IPP/study & work

ARP Spoofing 실습 - 2

hanwitjus 2021. 10. 8. 11:05

ARP Spoofing 공격을 시행해서 공격이 잘 됐는지 확인하고, 이 공격으로 Victim에서 패킷을 보는 등의 실습을 내가 자체적으로 실행해봤다. 그 과정을 까먹지 않기 위해 적어놓는다.

* 준비물: 무선랜, VMware, ettercap-graphical, wireshark

먼저 victim이 될 window 컴퓨터와 attacker가 될 kali 둘다 DKrouter 와이파이에 접속시킨 후, IP 주소를 확인한다.

일단 attacker의 IP주소는 10.10.10.113이고,

Victim의 IP주소는 10.10.10.114, 기본 게이트웨이(와이파이)의 IP는 10.10.10.1 이다.

이제 ettercap-graphical을 켜서 호스트 탐색을 해보면,

이렇게 좌라락 뜬다. 이제 여기서 게이트웨이(10.10.10.1)을 Target1으로, Victim host(10.10.10.114)를 Target2로 설정해놓고 ARP 스푸핑 공격을 실행한다.

그렇게 하고 공격이 잘 들어갔는지 확인하기 위해 cmd를 켜서 arp -a 명령어를 입력해본다.

그럼 이렇게 맥 주소가 똑같이 두개가 있는 것을 확인할 수 있고, 공격이 잘 들어갔다고 말할 수 있다.

아까 위에서 봤듯이 Attacker의 IP는 10.10.10.113 이었고 게이트웨이의 IP는 10.10.10.1 이다. Attacker가 가짜 맥주소로 게이트웨이의 맥주소를 사용하고 있음을 알 수 있다.

이제, Victim의 컴퓨터로 구글을 켜서 동덕여자대학교를 검색하고 학교 홈페이지에 들어가보고,

이때 wireshark로 그 검색 기록 패킷을 볼수 있는지 확인해봤다.

빨간색으로 표시한 부분을 보면 어느 웹사이트에 들어갔는지가 보인다. 그리고 노란색으로 칠해져있는 부분을 보면 VMware가 ARP 프로토콜로 피해자 컴퓨터에 가짜 맥 주소를 보내고 있는 것을 확인할 수 있고, 즉 공격이 성공적으로 시행되고 있다는 걸 알 수 있다.

다른 사람이 실습한 걸 보면 인터넷 검색창에 단어를 검색하고 그걸 HTTP 프로토콜로 범위를 제한해서 TCP Stream으로 보면 검색어까지 알아낼 수 있던데 그건 어떻게 해야하는지... 내가 해서는 DNS 프로토콜만 나온다. 그것도 다시 시도해보고 성공하면 추가해야겠다. 사실은 뭔가 나만 쓰는 것 같은 test15라는 와이파이로 내 맘대로 실습해보고 공격하고 다 하고싶은데, vmware에서 검색을 못해가지고 다른 와이파이로 하느라 약간 눈치보인다... 개발팀이나 다른 팀에서 그걸로 테스트 할 수도 있는 거고.. 그래서 계속 공격하고 스탑하고 소심하게 반복하는 중..

(+ 21.10.08 15:10 수정)

타켓을 컴퓨터가 아니라 핸드폰으로 해도 되려나 싶어서 핸드폰을 DKrouter 와이파이에 연결해서 공격을 시행해봤다.

근데 핸드폰의 IP를 어떻게 확인해야 하는지 몰라서 어떻게 할까 하다가 이때 쓰는게 Ping이구나! 하고 ping 명령어를 사용해서 핸드폰의 IP를 알아왔다.