[Network] ARP Spoofing 알아보기 를 먼저 보고, 오시면 더욱 더 도움이 됩니다.
[Network] ARP Spoofing 알아보기
중간자 공격(Man In the Middle) 중 하나인 ARP Spoofing에 대해 알아보자. 기본적인 ARP (Address Resolution Protocol) 통신 방식은 여기서 확인할 수 있다. [CISCO] ARP (Address Resolution Protocol) 알아보기 네트워크 통
a-gyuuuu.tistory.com
[Kail (Bettercap) 로 ARP Spoofing 해보기]
1. 현재 상태 확인
- Victim의 현재 상태 확인
- ARP Table에 등록된 G/W MAC 확인
1.1 공격자의 IP 및 MAC address 확인
2. Kail Linux (bettercap) 실행
- 명령어 bettercap으로 공격 도구 실행
- 현재는 공격 모듈이 전부 꺼져 있는 상태
- help 명령어로 모듈별 기능 설명 확인
net.probe on
- 같은 서브넷에서 새로운 호스트를 찾기 위해 계속 더미 UDP 패킷을 보내는 모듈 실행
- 명령어 입력으로 해당 모듈 실행
- help 명령어로 net.probe 모듈 실행 확인
3. ARP Spoof 시작
- help 명령어로 arp.spoof 명령어 기능 확인
arp.spoof
- 네트워크 내 선택된 호스트를 지속하여 Spoofing (속이다.) 시도
set arp.spoof.fullduplex true
- Targets과 Gateway 모두 공격
set arp.spoof.targets 192.168.1.133
- 위에서 보았던 PC(192.168.1.133)을 Target으로 지정
arp.spoof on
- ARP Spoof 모듈 실행
net.show
- LAN 전체의 호스트 별 세부사항 확인
- IP / MAC / Name / Vendor / Sent / Recvd / Seen 확인 가능
4. ARP Spoofing 결과
- PC의 ARP Table 에서 다시 확인 (arp -a)
- G/W(192.168.1.2)의 MAC address가 변경된 것 확인
- G/W의 MAC address가 공격자의 eth0으로 변경되었다.
5. ARP Spoofig Attack
- 지금까지, 조작된 ARP를 공격 대상자에게 보내어 ARP Table에 등록된 G/W의 MAC address를 조작하였다.
- 이제, 공격 대상자의 패킷은 공격자를 통하여 흐른다.
- 흐르는 패킷을 보기 위해 net.sniff 모듈을 실행한다.
net.sniff on
- 네트워크 내 송수신하는 패킷을 Sniff (사전적 정의 : 냄새를 맡다)
- HTTPS를 사용하지 않는 홈페이지에 접속하여 송/수신하는 패킷 정보를 볼 수 있다.
- HTTP = 평문으로 데이터를 주고 받을 수 있는 형태로 전송
- 아래와 같이, 웹사이트와의 연결이 암호화되지 않았음을 경고한다.
- bettercap에서 흐르는 패킷을 확인할 수 있다.
- HTTP를 통하여 송/수신한 패킷 내부의 정보가 그대로 훤히 다 보인다.
- HTTPS를 사용하지 않는 다른 웹사이트로 접속하여, 접속 정보를 입력해보았다.
- Username은 admin / Password는 123456789
- bettercap에서 확인해보자
- 아래 POST 요청에 위에서 입력한 계정 정보가 그대로 노출되었다.
'IT > ㄴ Post-Connection Attack' 카테고리의 다른 글
| [Linux] 포트 스캔 툴 zenmap 사용하기 [정보 수집 / 취약점 파악] (0) | 2023.07.07 |
|---|---|
| [Linux] bettercap을 GUI로 이용해보기 (0) | 2023.07.07 |
| [Network] ARP Spoofing 대응하기 [ MAC 주소 고정 / XARP ] (0) | 2023.07.06 |
| [Linux] bettercap의 caplet을 이용하여 ARP Spoofing 해보기 (0) | 2023.07.06 |
| [Network] ARP Spoofing 알아보기 (0) | 2023.07.06 |