ARP Spoofing을 이용한 모의해킹 네트워크 공격 시나리오
ARP Spoofing
ARP(Address Resolution Protocol)란?
1) ARP는 IP주소를 MAC 주소로 대응(Bind) 하기 위해 사용되는 프로토콜이다.
2) 각 IP 주소와 MAC 주소를 ARP 캐시라 불리는 메모리에 테이블 형태로 저장하고, 패킷 전송 시 사용한다.
3) ARP 테이블은 정보 저장 시간 평소에 2분이고, 2분 이내에 다시 통신을 한다면 10분으로 연장된다.
ARP Spoofing 이란?
LAN에서 ARP를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격(MITM) 기법이다.
더 자세한 내용은 아래 페이지를 참고하길 바란다.
https://www.crowdstrike.com/cybersecurity-101/spoofing-attacks/arp-spoofing/
[네트워크 공격 시나리오]
① 공격자는 내부의 리눅스 서버를 원격에서 관리하는 권한을 가진 내부의 다른 직원 PC를 대상으로 ARP Spoofing 공격을 진행함.
② ARP Spoofing을 통해 획득한 네트워크 데이터 중 Telnet을 이용하여 리눅스 서버를 원격 접속하는 인증정보를 스니핑
③ 공격자는 획득한 인증정보를 이용하여 권한이 없는 리눅스 서버 원격 접속 및 시스템 명령 실행을 통해 리눅스 서버 내의 중요정보 탈취
[환경 구성]
| OS | IP | 설명 | |
| 리눅스 서버 | CentOS_6.3 | 192.168.0.128 | 텔넷 서비스가 작동중인 중요 시스템 |
| 공격자(Attacker) | WindowsXP | 192.168.0.129 | 같은 내부망의 피해자 PC를 대상으로 ARP Spoofing 공격자 |
| 피해자(Victim) | WindowsXP | 192.168.0.130 | 텔넷을 이용하여 원격접속을 통해 리눅스 서버를 관리하는 자 |
GateWay 주소 : 192.168.0.2
[공격 진행]
피해자와 리눅스 서버가 텔넷 통신을 하고 있다. 공격자는 피해자와 텔넷 서버를 Ping을 보내 ARP를 추가시키고 Cain 프로그램을 실행한다.
이후 New ARP Spoofing을 하기 위해 피해자(192.168.0.130)과 Gateway(192.168.0.2)를 선택하고 ARP Spoofing을 진행한다.
공격이 진행되면 Duplicate MAC 주소가 보인다. Gateway주소가 공격자의 MAC 주소로 변경된 것을 확인할 수 있다.
공격에 성공했다.
이제 스니핑을 해보자. ARP Spoofing 공격 이후 희생자가 Telnet 서버에 접속하길 기다린다. 이후 접속 후 연결이 끊어진 것을 확인한 후 키로거를 통해 기록된 내용을 확인했다. ID는 test, PW는 test1234로 로그인한 모습이 보인다. 이후 root 계정으로 로그인하면서 root 계정의 PW까지 얻었다.
이후 공격자 PC에서 희생자 텔넷 ID로 접속한 후, root권한을 얻어서 password 정보를 획득했다. 이를 통해 ARP Spoofing을 이용한 모의해킹에 성공하였다.
탐지 및 대응방안
ARP Spoofing 탐지는 Wireshark를 통해 가능하다.
위 Wireshark 화면을 보면 Duplicate IP를 탐지하는 모습이 보인다. 이를 통해 ARP Spoofing 공격이 들어왔음을 알 수 있다.
대응방안
1) IDS/IPS를 이용해 mac주소가 변경되었을때 탐지 및 이에 따른 차단
2) ARP 테이블의 유형을 동적이 아닌 정적으로 설정
3) arp watch 등 보안솔루션을 이용해 스푸핑 탐지
등이 있다. 요즘은 V3, 알약 등과 같은 안티바이러스에서도 ARP Spoofing을 탐지하고 대응한다.
'시나리오 모의해킹' 카테고리의 다른 글
| Log4Shell 취약점 실습 및 대응방안 (0) | 2023.03.28 |
|---|---|
| Veil을 이용한 reverse_tcp 악성코드 (사회공학적 기법) (0) | 2022.09.18 |
