[12일차] ARP 스니핑

스니핑(sniffing)

   - 사전적 의미로는 '코를 킁킁거리다', '냄새를 맡다' 라는 뜻을 가지고 있음

   - 스위칭 환경에서 타겟의 트래픽을 엿보는 공격(도/감청하는 기법)

   - 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 훔쳐보는 행위
   - MITM( Man In The Middle) Attack

   1계층 허브 에서는 쓸필요 없음 상대방둘의 패킷이 나한테도 들어오니까
   2계층에서는 상대방둘이 통신하면 나한텐 안들어옴 그러니까
   사용해서 상대방의통신을 중간에서 엿볼수있음

 

스푸핑(Spoofing )

  - 사전적 의미로는 '속이다'라는 의미를 가지고 있음

   - 네트워크 상에서 거짓된 패킷을 발송하는 행위
     ex) request 한  IP가 진짜 그 IP인지  확인할 수 없음 , ARP헤더를 변조해서 보낸 IP와 맥을 변경가능

 

---------------------------------------------상황-----------------------------------

해커       : IP 192.168.4.117    MAC 00:50:56:CC:CC:10

공격대상 : 192.168.4.119        MAC 00:0C:29:CC:CC:12

A           : 192.168.4.118        MAC 00:50:56:CC:CC:11

해커가 공격대상의 내용을 볼수있는건 공격대상이 해커에게 패킷을 보냈을때만 볼수있다.

공격대상이 A에게 udp 패킷을 보냈을때 해커는 공격대상이 A에게 보냈던 ARP request(공격대상도 A의 맥어드레스를 모르기 때문에 브로드캐스트로 ARP request를 보냄) 를 볼 수 있다.  (데이터는 안보임)
공격대상의 캐시테이블에는 A의 맥어드레스가 적혀있을것임 

해커는 공격대상의 캐시테이블을 오염시켜야 공격대상이 A에게 보내는 메세지를 볼수있음

----------------------------------------------------------------------------

ARP 캐시 포이즈닝이 되면

공격대상이 arp 명령어를 치면

Address                               HWtype    HWaddress

192.168.4.118                      ether      00:50:56:cc:cc:10

이렇게 공격대상은 A에게 패킷을 보내고 있는거 같지만 실제로는 해커에게 보내고 있다.(실제로는 맥어드레스를 보고 통신하기때문)
여기서 문제는 공격대상이 A에게 패킷을 보낼때 실제로는 해커에게 전달되기 때문에 A는 계속 패킷을 받지 못한다.

공격대상과 A간의 통신을 중간에서 누가 가로채간다는것을 들키지 않기위해 해커가 받은 패킷을 다시 A에게 돌려주어야한다.

fragrouter 패키지를 사용한다.

  #> wget http://192.168.4.200/fragrouter-1.6.rpm
  #> rpm -ivh fragrouter-1.6.rpm
  #> fragrouter -B1

이렇게 하면 자동으로 패킷을 A에게 돌려준다. 

A가 공격대상에게 보내는 패킷도 스니핑 하기 위해

이렇게 공격대상이 A에게 'banana'라고 보낸 데이터를 몰래 훔쳐 볼 수 있다.