DNS Spoofing report

 

DNS 스푸핑 보고서

DNS 스푸핑 보고서.hwp

 

 

INDEX

------------------------------

1. 개요

2. 설정 확인

3. ettercap DNS 설정

4. ettercap spoofing

5. 결과 확인 & DNS 캐싱 정보 초기화

------------------------------

 

■ 사용시스템

- KaliLinux

 

 

(1) 개요

 

DNS Spoofing

실제 도메인 네임 시스템(DNS) 서버를 해킹하거나, 위조 DNS 서버를 설치하여 공격하는 방법.

사용자가 질의한 도메인 이름에 대해 고의로 잘못된 인터넷 프로토콜(IP) 주소를 응답으로 보내 사용자가 잘못된 사이트에 접속하게 하여 개인정보 등의 정보를 탈취한다. 도메인 네임 시스템(DNS) 프로토콜은 인터넷 연결 시 도메인 주소를 실제 IP 주소로 대응시켜 주는 프로토콜이다. 인터넷 연결 시 사용하는 DNS 서버가 IP 주소를 찾아 달라는 요청을 받았을 때, 자기 자신의 도메인이 아닌 주소에 대해서는 좀 더 상위 단의 DNS 서버로부터 IP 주소를 찾아 알려 준다. 만약 해커가 어떠한 도메인의 DNS 서버를 장악하여 통제하고 있다면 최종적으로 얻은 IP 주소는 원래 사용자가 찾으려고 했던 주소가 아닌 주소로 연결된다.

 

아래 공격은 공격자가 kali linux(Attacker)를 이용해서 Windows(Victim)을 공격하는 시나리오 입니다. 

사용된 방법은 dns spoofing이라는 공격 기법으로, 현재 사용할 수 있는 공격입니다. 아래 시나리오에서는 네이버와 네이트를 접속하려는 Victim(Windows)의 정보를 조작해서 네이버와 네이트에 다른 사이트로 유도하는 

코드를 삽입한 것입니다. 

 

정상적인 DNS 질의/응답 과정

 

DNS Spoofing 과정

 

(2) 설정확인

공격자 설정(Kali Linux)

1. 가짜 사이트 만들기

 

 

 

 

 

 

(3) ettercap DNS 설정

 

 

 

 

(4) ettercap Spoofing

 

ettercap 툴 실행

# ettercap -G &    (# ettercap -T text mode)

 

Sniff -> Unified sniffing -> eth1 -> 확인

Hosts -> Scan for hosts

Hosts -> Host list

 

192.168.41.100 -> Add to Target 1 (gw)

192.168.41.201 -> Add to Target 2 (Win2008)

 

 

Mitm -> ARP Poisning -> Sniff remote connections(V) -> 확인

Plugins -> Manage the plugins -> dns_spoof 더블 클릭

start -> start sniffing

피해자 (Win 2008)

1. nslookup 사이트 검색

2. 변경 된 IP 주소 확인

 

 

 

 

 

-DNS 캐싱 정보 초기화

 

C:\>ipconfig /flushdns

C:\>arp -d