DNS spoofing

오늘 다룰 내용은 DNS spoofing이야

이전에 DNS scan에 대해 알아보면서 DNS가 어떤 역할을 하는지 알아봤는데,

이제 DNS를 가지고 가짜 사이트로 연결시키는 공격을 해보려고 해

DNS spoofing 전에 arp spoofing 과정도 선행되니까 잘 따라와 봐!

 

 

 

1. DNS spoofing

오늘 실습 대상자는 kali 리눅스와 windows 10 두 개만 가지고 진행해볼 거야

순서는 다음과 같이 진행해볼 거야

kali 리눅스 ip: 192.168.10.200

windows 10 ip: 192.168.10.134

 

1. ARP spoofing  -> 2. DNS spoofing -> 3. 가짜 사이트 만들기

 

먼저 ARP spoofing을 진행시켜볼게! 

다들 저번에 배웠으니까 알고 있겠지?

1. arpspoof -t 192.168.10.134 192.168.10.2

2. fragrouter -B1

 

위의 명령으로 ARP spoofing 공격이 성공한 상태에서 windows 10은

인터넷을 정상적으로 사용할 수 있는 상태에 있게 돼

 

이제 여기서 dns.txt 파일을 하나 만들건데 

naver 사이트를 kali linux 아이피로 연결시키는 파일을 만들 거야

내용은 다음과 같아

 

192.168.10.200   *. naver.com

 

 

그리고 dnsspoof 명령어를 활용해서 다음과 같이 실행시킬 거야

dnsspoof -i eth0 -t /root/dns.txt

 

위의 명령을 실행하고 새 창을 열어서

service apache2 restart 명령을 실행시켜

apache2는 kali에 동작하고 있는 web server로 

windows10에서 naver.com으로 접속하면 apache2로 접속하도록

해당 서비스를 재시작시켜주는 명령이야

 

그런데......

naver.com으로 접속을 했는데 아파치 서버 초기화면이 나오질 않았어 ㅜㅜ

설정이 잘 안 된 것 같은데......

 

 

 

그래서!

위의 방식 말고 ettercap으로 한번 DNS spoofing을 다시 시작해보도록 할게!

미안 ㅜㅜ.......

 

1. /etc/ettercap 디렉터리

여기에 ettercap.dns file이 존재하는데 ettercap을 활용한 dns 접속을 설정하는 공간이야

여기서 사진과 같이 파일 수정을 해보도록 할게

우리는 google.com과 관련된 모든 접속을 kali 리눅스의 apache 웹서버로 연결시켜놓으려고 해

/etc/ettercap 디렉토리로 파일 위치를 옮기고...

etter.dns 파일에 하얀색 글씨로 쓰여진 내용을 추가하자!

 

*. google.com  A 192.168.10.200

"google.com 접속 시 192.168.10.200 IP 주소로 mapping 시킨다"는 뜻이야

 

 

2. ettercap 실행하기

여기서는 graphic mode로 실행하도록 할게

실행 후, arp poisoning을 위해 scan for hosts를 먼저 작동시킨 후,

Add to Target 1과 2를 192.168.10.134와 192.168.10.2를 추가할 거야

(192.168.10.2는 default gateway로 인터넷 접속 시 꼭 통과해야 하는 interface 주소야!)

그리고 arp poisoning을 실행하면 다음과 같은 창이 나타날 거야

arp poisoning vicitms로 해당 ip주소들이 추가된 것을 볼 수 있어

 

 

3. dns spoofing 실행하기

ettercap 오른쪽 상단에 점 3개 있는 로고를 클릭하면 pluggins라는 부분이 있어

이를 클릭하고 manage pluggins로 들어가면 다음과 같은 공격도구들이 나오는데

여기서 dns_spoof를 클릭!

dns_spoof를 실행하면 하단에 activating dns_spoof plugin이라고 알림이 나와!

 

 

이제 DNS spoofing이 끝났어!

이제 windows 10으로 가서 한번 goolge.com으로 접속해볼게

그러면....

이렇게 apache2 웹서버의 초기 화면이 뜨면서 www.google.com으로 접속이 안 되는 것을 볼 수 있어!

 

 

이렇듯이 spoofing 공격만으로도 대상자를 다른 웹사이트로 유도해낼 수 있다는 것을 확인해봤어

이제 사용자들이 해당 도메인으로 접속을 하게 되면 접속한 여러 로그 정보들은 공격자에게 

고스란히 전달될 것이고 공격자들은 이를 활용하여 다른 공격을 또 진행할 수 있게 돼

그러면 어떤 공격을 진행할 수 있느냐?

그것은 오늘 진행하지 못한 세 번째 단계인 가짜 사이트 만들기를 다음 공부시간에 알아보도록 할게!

오늘은 여기까지!!