Arp 스푸핑 공격

Arp 스푸핑 공격이란?

ARP를 이용하여 공격자가 네트워크 트래픽을 가로채거나 조작하는 공격입니다.

공격자는 자신의 MAC주소를 특정 IP 주소와 매핑되도록 타겟의 ARP 테이블을 변조하여 트래픽을 가로 챌 수 있습니다.

추가로 IP패킷의 단편화 및 재조합은 ARP프로토콜보다 상위 계층에서 제공하기에

ARP 스푸핑으로 가로챈 패킷은 단편화 되어있지 않습니다.

타겟(공격대상)의 정보

공격전 게이트웨이는 172.16.14.2 이고  mac주소는 00-50-56-f7-5b-fc입니다.

추가로 게이트웨이 아래 172.16.14.67은 공격자(칼리)의 ip입니다.

스푸핑 공격 전 게이트웨이 맥 주소

Arp 스푸핑 공격

칼리에 기본적으로 내장되어 있는 arpspoof를 사용하여 공격이 가능합니다.

총 2번의 공격 (공격대상, 게이트웨이)를 통해 공격대상과 게이트웨이를 속여 스푸핑 공격을 할 수 있습니다.

arpspoof -i <인터페이스> -t <공격대상ip> <gateway주소>

 

공격 대상에게 나를 라우터라고 속이기

arpspoof -i eth0 -t <공격대상> <게이트웨이>

스푸핑 공격 타겟 , 게이트웨이

라우터에게 나를 공격대상이라고 속이기

arpspoof -i eth0 -t <게이트웨이> <공격대상>

스푸핑 공격 게이트웨이, 타겟

Arp 공격 후 공격대상의 라우터 주소 확인

게이트웨이의 맥 주소가 칼리의 맥주소와 동일한걸 확인 할 수 있습니다.

스푸핑 공격 후 게이트웨이 맥 주소

Arp 스푸핑 공격 후 공격대상 인터넷 연결하기 

해커의 컴퓨터는 실제 라우터가 아니기에 요청이 들어오면 요청의 흐름을 중단됩니다.

실제로 공격을 당한 컴퓨터가 요청을 보내면 아래 사진처럼 정상적인 응답을 받을 수 없습니다.

라우팅이 되지 않아서 인터넷이 안됩니다

스니핑한 패킷을 인터넷으로 전달하기

fragrouter 명령어를 사용해서 스푸핑한 데이터들을 확인 및 정상적으로 인터넷으로 전달 할 수 있습니다.

fragrouter -B1

 

fragrouter -B1 으로 통신 유지 후 타겟 컴퓨터에서 인터넷 접속 성공