ARP Redirect 실습

실습 환경 공격자 OS : Kali Linux ( 192.168.1.8 )    |    피해자 OS : Windows7 ( 192.168.1.10 ) 게이트웨이 192.168.1.1

 

1>

ARP Redirect 공격은 위조된 ARP 패킷을 보내 희생자 시스템(Windows7)의 MAC 주소 테이블을 바꾸는 방식이므로, 먼저 희생자 시스템의 MAC 주소 테이블을 확인한다.

#arp -a

2> 

희생자 PC로부터 패킷이 전달되어 올 때 세션이 끊어지지 않게 패킷 릴레이를 위해 fragrouter를 실행한다.

#fragrouter -B1

3>

새로운 터미널을 열어 dsniff에서 제공하는 툴 중 하나인 arpspoof를 사용한다.
희생자 PC 192.168.1.10에게 공격자의 주소가 192.168.1.1(라우터)라는 것을 알리는 명령으로 다음과 같은 명령어를 사용한다.
#arpspoof -i eth0 -t 192.168.1.10 192.168.1.1

 

4>

다음과 같이 fragrouter를 실행한 화면을 보면 희생자(192.168.1.10) 시스템에서 공격자 시스템을 통과하여 라우터를 통해 외부로 나가는 패킷들을 확인할 수 있다.

5>

희생자 시스템의 arp 테이블을 확인해본 결과이다.
라우터인 192.168.1.1의 MAC 주소가 공격자 192.168.1.8의 MAC주소와 동일하게 인식된 것을 확인할 수 있다.
즉, 192.168.1.1로 보내든, 192.168.1.8로 패킷을 보내든간에 192.168.1.8로 향하게 된다.