[네트워크 보안] DNS spoofing

 

DNS 스푸핑은 컴퓨터 해킹 공격기법 중 하나로 도메인 네임 시스템에서 전달되는 IP 주소를 변조하거나 도메인 네임 시스템의 서버를 장악하여 사용자가 의도하지 않은 주소로 접속하게 만드는 공격방법이다.

 

클라이언트가 DNS 서버로 DNS Query 패킷을 보내는 것을 확인합니다. 스위칭 환경일 경우에는 클라이언트가 DNS Query 패킷을 보내면 이를 받아야 하므로 ARP 스푸핑과 같은 선행 작업이 필요합니다. 만약 허브를 쓰고 있다면 모든 패킷이 자신에게도 전달되므로 자연스럽게 클라이언트가 DNS Query 패킷을 보낼 경우 이를 확인합니다.

다음으로 DNS 서버가 올바른 DNS Response 패킷을 보내주기 전에 클라이언트에 위조된 DNS Response 패킷을 전송합니다. 클라이언트는 공격자가 보낸 DNS Response 패킷을 올바른 패킷으로 인식하고 웹 서버에 접속을 시도합니다.

* DNS 스푸핑 실습

1. 피해자 IP / 192.168.230.131

2. 공격자 IP / 192.168.230.134

3. G/W / 192.168.230.2

윈도우 7의 pc에서 네이버는 정상적으로 들어가는 것을 확인 할 수 있습니다.

 

 

먼저 전 강의에 잇는 arp spoofing 공격을 먼저 실행 합니다.

명령어 : arpspoof -t [피해자ip] [가짜ip = g/w] -i eth0

공격에 사용할 host 파일을 만들어 줍니다.

피해자 pc에서 naver.com을 검색했을때 공격자의 서버로 이동한다는 의미 입니다.

공격을 시작합니다.

 

네이버로 접속을 했을 때 접속이 불가능 한 것을 볼 수 있습니다. 이유는 칼리리눅스에서 웹서버가 실행되고 있지 않기 때문입니다.