공부한 내용 정리하는 공간입니다.
틀린 내용이 있을 수 있습니다.
모든 지적, 첨언 환영합니다.
Pharming Attack
피싱(Phishing) + 조작(Farming)
정상적으로 사이트 접속을 시도해도 가짜 사이트로 접속되게끔해서 금융거래 정보를 빼낸 후 금전적인 피해를 입히는 공격 방법
Spoofing
파밍 공격에서 사용하는 기술 : 위장
ARP Spoofing : IP 주소에 잘못된 MAC 주소를 연결
IP Spoofing : 잘못된 IP 주소를 연결
DNS Spoofing : 문자 주소에 잘못된 IP 주소를 연결
ARP Spoofing
ARP 취약점을 이용한 공격
>ARP 취약점 : request를 보낸 적이 없어도 reply를 받으면 arp 캐시 테이블에 저장
| 1 | 타겟은 외부망 통신 시 arp 캐시 테이블을 조회해서 게이트웨이의 MAC 주소로 트래픽 전송 |
| 2 | 공격자가 '게이트웨이 IP + 본인의 MAC 주소'로 타겟에게 arp reply를 보냄 |
| 3 | 타겟은 받은 arp reply에 있는 정보를 arp 캐시 테이블에 저장 |
| 4 | 타겟이 외부망 통신을 시도할 때 공격자의 MAC 주소로 트래픽 전송 |
arp 캐시 테이블은 aging time이 있어서 제대로 된 정보로 갱신될 수 있음
>잘못된 정보를 지속적으로 전송해서 잘못된 정보로 계속 갱신
같은 네트워크 내에서만 가능
공격자는 받은 트래픽을 실제 게이트웨이에게 전송하여 타겟은 서비스를 받을 수 있음 (redirect)
>Sniffing=ARP Spoofing+redirect
ex) 192.168.10.30의 게이트웨이(192.168.10.2) MAC 주소를 위조하는 ARP Spoofing
공격 전 타겟의 arp 캐시 테이블
게이트웨이(192.168.10.2)의 MAC 주소 : 00-50-56-ec-80-1c
arpspoof -i eth0 -t 192.168.10.30 192.168.10.2192.168.10.30에게 192.168.10.2의 MAC 주소가 내 주소(eth0)라고 arp spoofing
ARP Spoofing 패킷 분석 (Wireshark)
공격 후 타겟의 arp 캐시 테이블
게이트웨이(192.168.10.2)의 MAC 주소 : 00-0c-29-1e-1c-e9
공격자(192.168.10.10)의 MAC 주소 : 00-0c-29-1e-1c-e9
>앞으로 타겟은 외부망 전송할 때 공격자가 게이트웨이라고 생각하고 트래픽을 공격자에게 전송하게 됨
DNS Spoofing
공격자가 DNS 서버보다 DNS response를 먼저 응답하는 시간차 공격
| 1 | 타겟은 문자 주소의 IP를 알기 위하여 DNS 서버에 DNS request를 보냄 |
| 2 | 공격자가 DNS 서버보다 빠르게 위조된 DNS response를 보냄 |
| 3 | 타겟은 공격자에게 받은 위조된 DNS response로 통신 |
| 4 | 나중에 도착한 실제 DNS response는 drop |
ex) www.amazon.com의 IP를 위조하는 DNS Spoofing
cd /
vi dns
192.168.10.10 www.amazon.comwww.amazon.com의 IP가 192.168.10.10 (공격자) 라는 DNS 정보 생성
dnsspoof -f /dnsDNS server에 IP를 물어볼 때 dns 파일 내용으로 응답하라고 dns spoofing
DNS Spoofing 패킷 분석 (Wireshark)
공격 후 타겟이 도메인 이름으로 IP 주소 조회
www.amazon.com의 IP 주소 : 52.85.227.119
공격자의 IP 주소 : 192.168.10.10
>타겟dl www.amazon.com으로 접속할 때 공격자의 IP로 접속하게 됨
>공격자가 본인 IP를 위조 사이트에 연결시켜놓으면 타겟은 위조 사이트로 접속