[모의해킹] MiTM(Man in The Middle) - ARP Spoofing

 MiTM 이란?

네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법이다. 

 

중간자 공격은 통신을 연결하는 두 사람 사이에 중간자가 침입하여, 두 사람은 상대방에게 연결했다고 생각하지만 실제로는 두 사람은 중간자에게 연결되어 있으며, 중간자가 한쪽에서 전달된 정보를 도청 및 조작한 후 다른 쪽으로 전달하게 됩니다

MITM공격

 

 ARP Spoofing 

< 원리 >

[   ARP 통신과정  ]

Client 간의 통신을 하기 위해서는 서로의 MAC주소가 확보되어야 한다.

 

해당 IP에 대한 MAC주소를 알고자 할때 ARP 통신이 이루어진다.

- [ARP Request] : ARP Table에 해당 IP에 대한 정보가 없다면, Broadcast로 IP에 대한 MAC주소를 요청함.

- [ARP Response] : Request를 수신한 Client는 해당 Destination IP가 자신의 정보와 일치한다면, 자신의 정보를 송신자에게 전송함

 

arp 통신과정

ARP Table은 최근에 받은 MAC주소가 저장되어 짐.

arp 테이블이 생성되는 과정을 이용하여 arp spoofing을 실행하게 됩닏.

ARP Spoofing 과정

스텝 1.

먼저 사용자에게 자신이 게이트웨이라고 속이기 위한 ARP Spoofing을 수행한다. (네이버에 접속하기 위해서는 외부에 있는 DNS서버에게 DNS Query를 보내야하기 때문에 게이트웨이를 지나야 한다.)

 

스텝 2.

ARP Spoofing으로 인하여 피해자의 데이터는 자신을 거치므로 의심을 피하기 위해서 데이터를 원래의 목적지로 포워딩한다.

 

 

스텝3. 

=>Hacker PC에서 spoofing을 시도한 결과로 

W PC에서 ftp 서버에 접속하게되었을때, 192.168.10.254 의 경로는 vios10의 라우터 주소가 아닌 hacker의 mac주소로 명시되어집니다. 

제대로 arp Spoofing이 된 것을 확인할 수 있습니다.