2025.04.24 - [전공수업/정보보안] - [정보보안] 네트워크 보안 (3) - 스캐닝, 스니핑, 스푸핑, 세션 하이재킹
[정보보안] 네트워크 보안 (3) - 스캐닝, 스니핑, 스푸핑, 세션 하이재킹
2025.04.21 - [전공수업/정보보안] - [정보보안] 네트워크 보안 - DoS, DDoS, DRDoS, APT 공격 [정보보안] 네트워크 보안 - DoS, DDoS, DRDoS, APT 공격* 서비스 거부(DoS) 공격- 특정한 시스템이나 네트워크, 웹 서비
djjin02.tistory.com
ARP 리다이렉트(스푸핑) 공격은 피해자의 ARP 캐시를 조작하는 방식이다.
공격의 원리는 아래와 같다.
- 공격자가 피해자들에게 가짜 ARP 응답을 보내면서, “라우터(192.168.111.1)의 MAC 주소는 나야!”라고 속인다.
- 결과적으로 피해자 PC들은 라우터로 보낼 패킷을 공격자 MAC 주소로 전달하게 된다.
- 이제 피해자의 모든 패킷이 공격자를 거쳐서 라우터로 전달된다.
- 공격자는 받은 패킷을 다시 라우터로 포워딩(fragrouter) 하여 연결을 유지시킨다.
- 동시에 공격자는 트래픽을 도청(스니핑) 하거나, 변조/차단할 수도 있다.
이번 실습에서는 피해자의 트래픽이 공격자를 경유하도록 만드는 ARP 리다이렉트(스푸핑) 공격을 수행하여, 피해자의 ARP 테이블에서 게이트웨이의 MAC 주소가 공격자의 MAC 주소로 변조된 것을 확인하는 과정을 진행하였다.
실습 환경
- 공격자: Kali Linux (arpspoof, fragrouter 사용)
- 공격 대상: Windows 서버
1. 공격 대상 서버의 네트워크 연결 및 IP 확인
피해자 윈도우에서 ping 8.8.8.8, tracert 8.8.8.8을 실행하여 외부와 정상적으로 연결되는지 확인한다.
ipconfig로 ip를 확인한다.
2. 공격 전 ARP 테이블 확인
arp -a 명령으로 공격받기 전의 맥주소 테이블을 확인한다.
3. ARP 스푸핑 실행 (Kali Linux)
이제 공격자 서버로 가서,
fragrouter -B1 명령으로 fragrouter를 실행한다.
→ 중간자 공격
새 터미널을 열고, ARP 스푸핑을 실행한다.
- arpspoof -i eth0 -t [피해자 IP] [공격자 게이트웨이]
출력 결과는 아래와 같다.
- 50:b6:9f:0a:... 192.168.111.1 is-at 50:b6:9f:0a:...
192.168.111.1(공격자 MAC)을 가짜 ARP 응답으로 계속 흘려보내는 중이라는 의미이다.
피해자의 실제 인터넷 트래픽이 공격자 PC를 거쳐서 지나가고 있음을 확인할 수 있다.
4. 공격 결과
공격 전 후의 arp 테이블을 비교해 보면,
게이트웨이(192.168.111.1)의 MAC 주소가 공격자 MAC으로 바뀌어 있는 것을 확인할 수 있다.
- 192.168.111.1 00-0c-29-c7-25-b2 dynamic (게이트웨이 실제 MAC)
- 192.168.111.1 50-b6-9f-0a-... dynamic (공격자 MAC)
끝..
'Security > 네트워크 보안' 카테고리의 다른 글
| [정보 보안] DoS 공격 - Ping of Death, SYN Flooding, Teardrop, Land, Smurf (0) | 2025.09.19 |
|---|---|
| [정보 보안] DNS 스푸핑 (0) | 2025.09.19 |
| [정보 보안] Switch Jamming(MAC Flooding Attack) (0) | 2025.09.18 |
| [정보 보안] dsniff 스니핑 (0) | 2025.09.18 |
| [정보 보안] TCP Dump 스니핑 (0) | 2025.09.18 |
