DNS Spoofing

DNS ( Domain Name System )

- 호스트의 도메인 이름을 호스트의 네트워크 주소로 바꾸거나 그 반대의 변환을 수행할 수 있도록 하기 위해 개발되었다

- 특정 컴퓨터의 주소를 찾기 위해, 사람이 이해하기 쉬운 도메인 이름을 숫자로 된 식별 번호로 변환해 준다

 

Spoofing

- 사전적인 의미로 '속이다'라는 뜻을 가지고 있다

- Spoofing 공격이란 속이는 것을 이용한 공격 기법들을 얘기한다

 

DNS Spoofing

: Client에서 Domain IP 질의를 할 때,  DNS 서버보다 앞서 응답 하여 공격자가 의도한 대로 공격자의 웹 서버 IP정보를 알려주는 공격 방법을 말한다

 

- 공격하기전 정상적인 흐름

 

- Client A는 변조된 DNS 서버의 주소 때문에 hacker가 만든 웹 서버로 접속하게 된다

 

DNS Spoofing 순서

1. Client A의 ARP Cache의 Gateway의 MAC 주소 hacker의 MAC주소로 변환

2. Client A가 보낸 패킷을 원래 주소로 포워딩

3. hacker가 만든 웹 서버로 유도

4. Client A에서 확인

 

실습환경

 

 

1. Client A의 ARP Cache의 Gateway의 MAC 주소 hacker의 MAC주소로 변환

( 이 작업까지만하게되면 Client A는 외부와 통신할 수 없는 상태가 된다 )

 

- Client A(192.168.1.4)의 ARP Cache에서 Gateway(192.168.1.1)의 MAC 주소를 hacker의 MAC으로 변환한다

 

- Client A에서 ARP Cache를 조회하면 Gateway(192.168.1.1)과 hacker(192.168.1.27)의 MAC주소가 같은걸 확인할 수 있다

 

2. Client A가 보낸 패킷을 원래 주소로 포워딩

( 이 작업을하게되면 Client A는 다시 외부랑 통신을할 수 있다 )

 

- ARP Spoofing을 하는 동시에 fragrouter -B1 명령어를 통해 Client A를 통해 받는 패킷을 다시 원래의 주인한테 포워딩을 해준다

 

3. hacker가 만든 웹 서버로 유도

 

- Kali_linux의 root 홈 디렉터리에서 hosts.txt 파일에 hacker의 웹서버와 매핑할 도메인을 적어준다

- 요즘 도메인은 접속하게되면 https로 자동으로 변환되기 때문에 https까지 처리하게 만들지 않는 이상 제대로 동작하지 않는다 때문에 있지 않은법한 도메인 주소를 적어주어서 잘 동작하게 만든다

( [hacker 웹 서버] [매핑할 도메인] )

 

- 재시작을 해준다

 

- dnsspoof -i eht0 -f ./hosts.txt 명령어를 이용해 dns spoofing을 시작해준다

 

4. Client A에서 확인

 

- hosts.txt 파일에 입력해준 www.testaaaa.com을 입력해주면 hacker가 만들어 놓은 웹 서버로 이동되는 것을 확인할 수 있다