DNS Spoofing 공격 (주변 컴퓨터의 사이트 접속 조작)

** 아래 포스팅은 교육적인 목적으로 작성되었습니다. 함부로 이용하는 경우 법적인 문제가 발생할 수 있습니다. 

아래 공격은 공격자가 kali linux(Attacker)를 이용해서 Windows(Victim)을 공격하는 시나리오 입니다. 

사용된 방법은 dns spoofing이라는 공격 기법으로, 현재 사용할 수 있는 공격입니다. 아래 시나리오에서는 네이버와 네이트를 접속하려는 Victim(Windows)의 정보를 조작해서 네이버와 네이트에 다른 사이트로 유도하는 

코드를 삽입한 것입니다. 

DNS Spoofing 공격 

분명히 네이버로 접속을 했건만, 다른 사이트가 나온 기억은 없으신가요? 

공격을 당하거나, DNS를 점령한 곳에 접속하면 이런 일이 생길 수 있습니다. 

간략하게 아래 내용을 통해서 알아 보겠습니다. 

1. kali linux에서 arpspoof 명령을 이용해서 전체의 arp를 조작합니다. 

2. fragrouter를 작동시킵니다. 

3. dnsspoof를 진행합니다. 

dnsspoof에 내가 위조하려는 명단을 넣습니다. 

이번 작업을 위해서 다음과 같이 hosts 파일을 생성 했습니다. 

# vi /tmp/hosts

10.10.1.12        www.naver.com

192.168.108.129   www.nate.com

4. 대상자 PC (Windows - Victim) 에서 nslookup을 해 봅시다. 

* 공격 당하지 않은 정상적인 PC는 다음과 같이 나타납니다. 

C:\Users\EDU-A10>nslookup www.naver.com

서버:    kns.kornet.net

Address:  168.126.63.1

권한 없는 응답:

이름:    www.naver.com.nheos.com

Addresses:  125.209.222.142

          202.179.177.21

Aliases:  www.naver.com

C:\Users\EDU-A10>nslookup www.nate.com

서버:    kns.kornet.net

Address:  168.126.63.1

권한 없는 응답:

이름:    www.nate.com

Address:  120.50.132.112

그런데, 공격 당한 PC는 다음과 같이 결과를 냅니다. 

속은 거죠!!!

실제 웹 브라우저를 열어서 확인하면, 공격자가 의도한 사이트로 가게 됩니다. 무섭죠...