Monday, March 24, 2014

파밍으로 악용될 수 있는 DNS Spoofing 에 대해 알아보자.



 Client 에 의한 Domain Name 의 해석 요청이 있을시 
먼저 Hosts 화일을 확인하고, 없다면 DNS Cache 를 확인하게 된다.
Cache 에도 존재하지 않다면 설정된 DNS Server 에 Query 를 보낸다.
그렇게 해서 DNS Server 에서 Client 에게 전달하게 된다.

이 중간에 해커 P/C가 희생자의 Gateway 인척 Mac address 를 속이게 되면 
DNS Query 에대한 답을 Server 측에서 보내는것 처럼 속여 해커가 임의로 만든
사이트로 희생자가 접속하게 된다. 결국 파밍 사이트를 리얼사이트와 동일하게 만들면
파밍 사기에 속을 수 밖에 없게된다.
테스트를 위해 vmware 위에 2개의 xp(희생양과 공격자가 구성한 web server)
그리고 공격자는 BT5r3를 사용한다.
희생양 IP: 192.168.92.131, 공격자 IP 192.168.92.128

먼저 희생양이 되는 P.C 의 ARP Table 을 확인해보자



위와 같이 Gateway는 192.168.92.2 를 가르키고 MAC은 f7:14:99 임을 기억하자.

여기서 공격자가 내부 내트웍에 있으므로 ARP Spoofing 공격을 하게되면
공격자의 Mac 을 희생양의 Gateway 인척 속이게 된다.
arpspoof -i [interface] -t [target] [host]
이명령은 target 으로 현재 interface를 host가 가지는 mac 으로 인식되게끔 변조 시킨다.
그리고 다시 희생양의 arp table 을 확인하게 되면 

위와 같이 gateway의 물리적주소가 변조 된것을 확인할 수 있다.
이제는 외부로 나가는 data는 모두 gateway 를 거쳐야 하므로 공격자의 P/C를
거쳐서 나가게 된다는 것이다.
이렇게 되면 모든 data를 스니핑이 가능하지만 아직 해줘야 할 작업이 남았다.
공격자가 받은 data를 forwarding 시켜줘야 희생양 P.C에서 정상적으로 data를 
보낸것처럼 인식 될것이다. 이러한 forwarding 작업이 없으면 희생양 P/C 에선
internet 을 사용할 수 없게 될것이다. 말 그대로 해커 P.C에서 packet 을 먹어버리고 
만것이다.

forwarding 작업을 위해서 Backtrack에선 2가지 방법이 있다.
첫번째는
#echo 1 > /proc/sys/net/ipv4/ip_forward 
로 ip_forwarding값을 1(true)로 변경하는 방법과
두번째로
fragrouter -B1   이라는 명령으로 전달하는 방법이 있다.

forwarding 한후 
먼저 dnsspoofing 에 사용할 화일을 만들어 주자.
----------------------------------
#touch ./test.txt
10.10.10.10        www.bank.com
:wq!
----------------------------------
라인을 구분자로 여러줄 등록해도 무관하다.

위의 IP주소는 해커가 만들어 놓은 웹서버의 IP 주소를 넣으면 된다.
그리고 그 뒤에는 사용자가 접속하는 도메인네임인데 사용자가
www.bank.com 으로 접속하려 할 때 이를 catch 해서 해커가 10.10.10.10 이라는
주소로 redirecting 시켜 버린다. 결국 희생양 P/C 는 www.bank.com 과 동일하게
생성시켜 놓은 파밍사이트로 접근하게 되어 위험해 지는 것이다.

dnsspoofing 화일을 만들었다면 마지막으로
dnsspoof -i [interface] -f [화일명] 으로 dnsspoofing 을 시도해보자

희생양 P.C가 www.bank.com 으로 접을할 때 마다 변조된 query를 날렸다고
알려올 것이다.
이제 희생양 P.C에서 www.bank.com 으로 접속해보자.
필자는 www.bank.com 이 아닌 www.google.com 으로 했다.
그리고 webserver 는 따로 구성하지 않았으니, nslookup 으로 확인해보겠다.


위와 같이 10.10.10.10 이라는 IP 주소가 www.google.com 이라는 query 가왔다.
물론 해커가 변조한 query이다.
이제는 희생양 P.C가 www.google.com 으로 접속할 때 마다 해커가 구성해 놓은
파밍 webserver 10.10.10.10 으로 접속하게 된다.

이러한 LAN 환경에서의 DNS Spoofing 을 예방하기 위해선 arp table을 수동으로
구성해 gateway Mac 변조를 사전에 막는것이다.


































Posted by at
Labels: , , ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)