DNS Spoofing 실습

아파치를 설치한 후 아파치 데몬을 실행합니다.

 

sudo apt-get install apache2

sudo service apache2 start

 

 

vi 편집기로 /etc/ettercap/etter.dns를 수정합니다.

etter.dns 파일은 ettercap dns_spoof 플러그인의 hosts 파일입니다.

sudo vi /etc/ettercap/etter.dns

 

 

google과 naver를 추가해줬습니다.

(dns spoofing 공격을 당하게 된다면 google과 naver 사이트 접속 시 공격자의 사이트로 이동됩니다)

 

※ hosts 파일이란?

초기 DNS는 IP 주소와 Domain 주소를 매핑하기 위해 hosts 파일을 이용합니다.

hosts 파일에는 IP주소와 대응하는 Domain 주소가 적혀 있는데 NIC에서 hosts파일을 관리하고 배포했습니다.

하지만 네트워크의 규모가 확장되면서 hosts 파일은 너무 자주 변동되었고 hosts 파일을 다운받기 위한 트래픽도 증가해서 NIC에서 관리하기 어려워졌습니다.

이러한 문제를 해결하기 위해서 DNS 서버가 등장했습니다.

서버에서 IP주소와 Domain 주소를 관리하고 변환하는 것입니다.

이런 과정을 통해 현재의 DNS 체계가 되었습니다.

 

* ettercap이란?

LAN 구간에서 MAN-IN-THE-MIDDLE 공격을 하기 위한 무료 오픈 소스 해킹 도구입니다.

 

 

kali (공격자 PC)에서 아래와 같은 명령어를 입력합니다.

sudo ettercap -G

 

 

위와 같이 설정하고 상단의 체크 표시를 클릭합니다.

 

 

돋보기를 클릭해서 LAN 구간에 있는 hosts를 스캔합니다.

 

 

스캔한 hosts를 확인하기 위해 돋보기 우측에 있는 아이콘을 클릭합니다.

Add to Target1에는 게이트웨이(192.168.0.1)를

Add to Target2에는 피해자PC(192.168.0.5)를 선택했습니다.

 

 

 

우측 상단의 아이콘을 클릭한 후 Plugins를 선택합니다.

그리고나서 Manage plugins를 클릭합니다.

 

 

dns_spoof를 더블클릭하면 적용됩니다 dns_spoof 앞에 *가 추가됩니다.

 

 

 

지구본 아이콘을 클릭한 후 ARP poisoning을 누르게되면 공격이 시작됩니다.

옵션은 sniff remote connections를 선택합니다.

 

---

 

구글 및 네이버 사이트에 접속이 되는지 확인합니다.

*만약 정상적으로 페이지가 나타난다면, 인터넷 사용기록을 모두 지운 후 다시 시도 해 봅니다.

 

 

naver.com으로 접속을 시도하면 왼쪽과 같이 공격자의 로그에 표시됩니다.

 

성공적으로 dns spoofing 공격이 되었습니다.

* 브라우저의 캐시를 지우면 보다 더 원활하게 실습을 진행할 수 있습니다.