네트워크 공격 실습 보고서
10
- 1 - REPORT (해킹실습 및 대응보고서) 과제점수 : (기한내 제출 : / 내용충실도 : / 내용 논술력 : ) 학 과 : 컴보1A 학 번 : 2013011073 과목명 : 시스템보안실습 담당교수 : 박경수 교수님 제출자 : 박동진 제출일자 : 2013/11/07
Transcript of 네트워크 공격 실습 보고서
- 1 -
REPORT
(해킹실습 및 대응보고서)
과제점수 : (기한내 제출 : / 내용충실도 : / 내용 논술력 : )
학 과 : 컴보1A 학 번 : 2013011073 과목명 : 시스템보안실습 담당교수 : 박경수 교수님 제출자 : 박동진 제출일자 : 2013/11/07
- 2 -
목차
1.DNS 스푸핑A)DNS B)DNS 스푸핑
2.실습하기A)실습환경B)실습과정
3.대응하기A)대응방법
- 3 -
DNSDNS(Domain Name Server)는 IP주소를 특정문자열로 매칭시켜주는 서버이자 서비스이다 .인터넷 브라우저 주소창에 www.naver.com 을입력하면자동으로 홈페이에 접속되면서 메인 홈페이지가 띄워지는데 DNS는 www.naver.com 이란문자열을 실제 서버 IP주소와 매칭시켜 IP주소를 모르더라도 쉽게 웹페이지에 접속할수있게 해준다
DNS 스푸핑정상적인 DNS동작은 호스트가 주소창에 문자열을 입력하면 DNS query라는 패킷를 DNS서버에 보내고 응답을 받아 IP주소로 매칭되어 웹페이지를 이용하는데 DNS 스푸핑은 공격자가 DNS패킷을 가로채고 패킷을 조작하여 응답해주어 위조된 서버로유도 하는것이다 이과정은 DNS 패킷이 먼저도착한 패킷을 신뢰하는 UDP방식이기에 가능한 것이며 공격자는 이를위해 ARP스푸핑같은 사전작업이 필요하다(그림 9-21참초)
- 4 -
실습환경DNS스푸핑으로 패킷을 조작하고 위조된 웹서버로 유도하려면 위조된 웹서버,공격자,공격대상자 촐 3대가 필요하다 툴은 arpspoof,dnsspoof이 필요하며 arp스푸핑으로 공격대상자의 패킷흐름을 장악하고 DNS스푸핑을 시도한다
실습과정먼저 각PC들의 IP,MAC 주소이다정윤상이 공격박종빈이 웹서버박동진(필자)이 공격대상자이다 (그림 가-1 참조) 공격자는 ARP스푸핑을 통해자기 MAC주소를 게이트웨이 역할로할당하여 공격대상의 패킷흐름을 장악하고DNS스푸핑을 통해 위조된 웹페이지로유도한다 웹서버는 위조된 웹페이지를httpd 데몬을 통해 가동시키고 공격대상자는 flushdns만 하면된다
먼저 공격자가 arpspoof툴로 공격대상의 게이트웨이를 자신으로 만든다 그림 가-2그림 가-3참조
(그림 가-2)
그림 가-1
- 5 -
(그림 가-3)
성공적으로 공격대상자의 게이트웨이가 공격자로 되어있는걸 볼 수 있다빨간색 네모칸을 보면 공격자의 MAC주소가 게이트웨이의MAC주소랑 일치하는걸 볼 수 있다 흰색네모는 서버이다 (그림 나-1참조)
(그림 나-1)
(그림 다-1)
- 6 -
그다음 위조된 웹서버를 구축한다 기본 index.html 에 소스코드를 조금 바꾸어 실습환경을 나타내도록 하게하였다( 위의 그림 다-1)
그다음 공격대상자의 dns캐시를 삭제해준다(그림 나-2참조)
(그림 나-2)
그다음 fragrouter툴 로 패킷을 릴레이 해준다(그림 가-4참조)
(그림 가-4)
그다음 vi에디터로 그림 가-5 파일을 열어 DNS스푸핑을 위해 그림 가-6처럼 입력하고 저장한다
(그림 가-5)
- 7 -
(그림 가-6)
그다음 그림 가-7처럼 입력하고 결과가 이처럼 나오면 DNS 스푸핑이 되고있는것이다
(그림 가-7)
공격대상자가 www.naver,com www.google.com 으로 접속해보고 그림 다-1의 위조서버가 나타내면 성공적으로 DNS 스푸핑이 된 것이다(그림 나-3 , 나-4 참조)
(그림 나-3)
- 8 -
이와같이 평소에 자주 즐겨찾는 사이트를 DNS 스푸핑을 통해 조작된 웹페이지로 유도해 아이디,비밀번호 또는 금융정보 까지도 획득할수 있을것이다
대응방법실습에서 보다시피 위험한 DNS 스푸핑 공격은 개인정보유출 위험도가 높아보이는 공격인데 대응방법으로는 ARP 스푸핑 대응법인 arp 테이블을 정적으로 고정시키는 것처럼 DNS 스푸핑도 hosts 라는 파일에 도메인과 IP주소를 정적으로 고정시켜주면 그에해당하는 사이트는 DNS 스푸핑 공격이 통하지가 않는다 외부에 있는 DNS서버에 패킷을 보낼필요가없이 로컬에에서 DNS를 참조하기 때문이다 과정으로는 다음과 같다
hosts 파일은 C:\Windows\System32\Drivers\etc 에 위치해있으며 cmd커맨드창에서 ping 명령어를 통해 도메인을 입력하여 IP주소를 알아낸후파일을 열고 IP 와 도메인을 입력하여 저장해주면 된다 (그림 라-1, 라-2 참조)
(그림 나-4)
- 9 -
(그림 라-1)
(그림 라-2)
위와같은 작업을 수행하여 www.google.com www.naver.com 사이트에 접속해보고 아래와 같이 정상정으로 뜬다면 성공적으로 대응이 된 것이다(그림 바-2,바-1 참조)
- 10 -
(그림 바-1)
(그림 바-2)
