Kali Linux - DNS Spoofing 공격 (Ettercp 이용)

■ DNS Spoofing 공격

- Domain Name System에 전달되는 IP 주소를 변조하거나 Domain Name Server를 장악하여 사용자가 의도하지 않은 주소로 접속하게 만드는 공격 기법.

- 공격 방법으로는 DNS Cache Poisoning, Man In The Middle 공격(중간자 공격) 등이 있다.

 

ㆍDNS Cache Poisoning Attack: DNS Server를 직접 공격하는 것이 아닌 DNS Caching Server를 공격

  1) DNS Caching Server에게 DNS Server로 가장하여 위조된 도메인 값을 전달하게 된다.

  2) 전달받은 DNS Caching Server는 위조된 도메인 값을 저장한다.

  3) 사용자는 DNS Caching Server로부터 위조된 값을 전달받게 된다.

 

ㆍMimt Attack의 경우, 사용자 PC의 질의를 가로채서 수정된 값을 전송하게 만든다.

  => 여기서는 Mimt 공격을 실습한다.

 

 

* 해결방법

 - DNSSEC: 공개키 암호화 방식(Public Key Cryptography)의 전자서명 기술을 DNS 체계에 도입 적용.

 => 작동원리 및 구축과정은 한국인터넷정보센터에 들어가면 확인할 수 있다. 아래 링크

https://xn--3e0bx5euxnjje69i70af08bea817g.xn-3e0b707e/jsp/resources/dns/dnssecInfo/dnssecProcess.jsp

 

 

- # systemctl start apache2 : apache 실행

 

- # vi /etc/ettercap/etter.dns : ettercap DNS 관련 설정 파일

- 위와 같이 입력

 

- # ettercap -G : ettercap 실행

 

- Sniff -> Unified sniffing... 클릭

 

- Network interface 선택, eth0

- 위와 같이 출력되면 정상적으로 나온 것이다.

 

- 에러가 나는 경우, echo 0 > /proc/sys/net/ipv6/conf/eth0/use_tempaddr 입력

 

- Hosts -> Scan for hosts 클릭, 공격할 Host를 Scan 한다.

- 위의 오른쪽 그림처럼 Scanning에 대한 결과가 나오는 것을 확인할 수 있다.

 

- Hosts -> Hosts list 클릭

- 위와 같이 List가 나온다.

 

- 공격할 IP 선택 -> Add to Target 1 클릭

- 위와 같이 Target 1로 설정된 것을 확인할 수 있다.

 

- 공격할 다른 IP 선택 -> Add to Target 2 클릭

- 위와 같이 Target 2로 설정된 것을 확인할 수 있다, 여기서는 Gateway 공격

 

- Mitm -> ARP poisoning... 클릭

=> Mitm: 중간자 공격, 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법

=> ARP poisoning: 양쪽의 MAC 주소를 자신의 MAC 주소로 조작하여 중간에서 도청한다.

 

- Sniff remote connections 체크

 

- Plugins -> Manage the plugins 클릭

 

- dns_spoof 더블 클릭

 

- 아래애 "Activating dns_spoof plugin..."이라고 DNS Spoofing이 적용된 것을 확인할 수 있다.

- Start -> Strat sniffing 클릭

 

- 위와 같이 공격당하기 전에는 정상적으로 접속했지만, 공격당한 이후에는 다른 사이트로 접속하는 것을 확인할 수 있다.