DNS 스푸핑 공격 실습

DNS 스푸핑

DNS 스푸핑은 실제 DNS 서버보다 빨리 공격 대상에게  DNS Response 패킷을 보내, 공격 대상이 잘못된 IP 주소로

웹 접속을 하도록 유도하는 공격이다. 

 

 

 

 

 

실습환경

공격자 시스템 : 칼리 리눅스 공격 대상 시스템 : 윈도우 2012 모조 웹사이트 시스템 : 윈도우 서버 IIS 필요 프로그램 : arpspoof , fragrouter , dnsspoof

 

1.  DNS 스푸핑 파일(dns.hosts) 설정하기

네이버와 구글 사이트의 DNS Query에 대해 192.168.93.136 으로 DNS Response를 보내도록 추가한다.

 

 

2. ARP 스푸핑과 패킷 릴레이 실행하기

클라이언트에서 구글의 MAC 주소를 알아내기 위해 패킷을 보낼 때 공격자 시스템을 지나도록 ARP 스푸핑을 실행한다.

또한 패킷이 끊어지지 않도록 fragrouter를 실행한다.

 

 

3. DNS 스푸핑 공격 수행

dnsspoof 툴을 이용하여 www.naver.com 과 www.google.com 에 대한 DNS Query 패킷이 위조된 웹 서버인

192.168.93.136으로 이름을 해석하도록 설정한다.

 

4. 위조된 웹 서버로 접속

 

공격 대상자인 윈도우에서 www.naver.com  과 www.google.com  에 접속을 하면 

위조용 웹 사이트로 접속됨을 확인 가능하다.

 

4-1. DNS 스푸핑 공격 확인

공격이 성공하면 공격 당한 클라이언트에서 사이트로 ping 을 날려보면 위조된 웹 서버로 ping을 날린다.