백트랙5r3 - ARP Spoofing

백트랙5r3 - ARP Spoofing 

 백트랙(backtrack) 라는 단어를 네이버에서 검색해보면 사전적 의미로는 다음과 같습니다.

 1. (방금 왔던 길을) 되짚어 가다

 2. (압력을 받아 의견 등을) 철회하다

또한 '공포의 해킹 툴 백트랙4' 라는 책에서는 다음과 같이 백트랙을 설명하고 있습니다.

백트랙은 타겟 네트워크 환경에서 아직 발견되지 않은 취약점을 식별, 탐지, 익스플로잇할 수 있는 고급 툴이 탑재된 침투 테스트이자 보안 감사 플랫폼이다. 잘 정의된 비즈니스 목적과 정확한 테스트 계획과

함께 적절한 침투 테스트 방법론을 적용하면 철저하고 확실한 네트워크 침투 테스트를 수행할 수 있다.

ARP Spoofing

arp 스푸핑 같은 경우 일전에 제 블로그에서 여러번 연재 했었지만, 백트랙 실습은 하지 않았기 떄문에

이번 시간에 이렇게 포스팅을 다시 쓰게 되었습니다.

원래 버젼,OS,패치상태등 여러가지 환경에서 가능한 많이 테스트 해보는 것이 가장 좋으며 그것이

정석입니다.

ARP 스푸핑이란 무엇일까요?

주소 결정 프로토콜(ARP) 캐쉬 메모리를 변조시켜 공격 대상의 MAC 주소를 자신의 컴퓨터의 

MAC 주소로 변경하면 모든 데이터가 자신의 컴퓨터로 모니터링이 가능한 공격 기법을 말합니다.

과거의 해커는 유명한 웹 서버 자체를 공격하여 악성코드 경유지로 활용하기도 했습니다.

그러나 웹 서버 보안이 점차 강화됨에 따라서, 네트워크의 서브넷 내에 침투하여 ARP 위장 패킷으로

해당 서브넷 안의 PC들을 감염시키기는 행태로 많이 변화되어 왔습니다. 

어떤 시스템에 ARP 위장 기능을 가진 악성 코드가 설치되면 약간의 조작으로 동일 구역 내의 다른

시스템에 쉽게 악성코드가 설치 될 수 있습니다.

백트랙 arp spoofing

▲ 클라이언트 PC의 IP 와 MAC 주소값을 확인합니다.

CMD 창에서 ipconfig 명령어를 입력하면 ip주소가 나오며, arp -a 라고 입력하면 arp 목록이 출력 됩니다.

▲ 백트랙에서 arpspoof -i eth1 -t target ip 백트랙 ip 를 입력 합니다

공격이 성공하면 위와 같은 화면을 볼 수 있습니다.

▲ 클라이언트에서 hacker ip와 mac 주소를 확인 할 수 있습니다. 이로서 arp 스푸핑 공격성공 

이터캡(ettercap) 을 이용하면 pc 2대를 동시에 공격 할 수 도있습니다.

▲ ettercap -i eth1 -T arp /타겟1ip/ /타겟2ip/   

이렇게 입력후에 위의 화면과 같이 100% 라고 나오면 공격 성공 입니다.

▲ 클라이언트1의 PC가 변조된것을 확인

▲ 클라리언트2의 pc가 변조된것을 확인