MITM 공격(중간자 공격) ettercap편

중간자 공격이란 A와 B사이에 끼어들어서 정보를 탈취하는것을 말한다.

 

실습 준비물

윈도우, 백트랙(or 칼리)

 

윈도우 192.168.100.137

백트랙 192.168.100.131

 

윈도우를 킨뒤, ipconfig를 해서 현재의 ip주소를 확인후, arp -a 해서 현재 윈도우와 연관된 MAC 주소를 확인해보자

 

arp란? 연결하려는 시스템의 mac주소를 확인하는것이다.

이렇게 외부와 연결된 100.2(실제 밖의 진짜 외부와 통하는 곳)와

멀티캐스팅 응용을 위해 사용된 224.0.0.22(IGMP)

DNS 프로토콜 224.0.0.252

밖에 없다.

 

백트랙에 들어가서 윈도우로 ping을 날려보자

 

다시 윈도우로 돌아와서 arp -a 를 해보자

아까까지만해도 없었던 백트랙의 주소(192.168.100.131)가 잡혔다.

 

이는 윈도우 상의 arp 캐쉬메모리에 백트랙의 주소가 저장된 것이다.

(껏다 키면 다시 사라진다. [휘발성])

 

그뒤 다시 백트랙으로 돌아와서

 

우리는 IP 포워딩을 할것이기 때문에 fragrouter를 사용할것이다.

(fragrouter은 받은 패킷을 전달해주는 역할이다.)

 

즉 외부 - 백트랙 - 윈도우 이렇게 연결되어있으면

 

윈도우에서 외부로 정보를 보낼때 백트랙을 거쳐서 보내고 받을때도 백트랙을 거쳐서 받게되는데, fragrouter가 윈도우에서 보낸 데이터를 받아서 그 정보를 다시 외부로 보내주는 작업을 해주는것이다.

 

즉 백트랙으로오는 정보를 외부로 보내주지 않게 된다면 윈도우에서는 인터넷이 사용될수 없게 될것이다.

 

명령어 창에다가

 

fragrouter --help를 쳐보자

 

여러가지 옵션들이 많은데

 

B1옵션으로 해보자

 

fragrouter -B1

 

이제 이 백트랙은 자기 자신에게 온 데이터를 다시 외부로 보내줄것이다.

 

새로운 cmd 창을 열어서,

arpspoof -i eth0 -t 192.168.100.2(외부랑 연결된 dns) 192.168.100.(win7의 주소)

외부의 dns를 타겟으로 삼고

또 새로운 cmd창을 열고,

arpspoof -i eth0 192.168.100.2(외부랑 연결된 dns) -t 192.168.100.(win7의 주소)

win7의 주소를 타겟으로 삼자

이 두개의 의미는 윈도우에게 백트랙이 “난 gateway 이니깐 나에게 정보를 줘” 이렇게 속이는것이다.

 

자 이제 다시 윈도우로 돌아와서 arp -a를 해보자

131 즉 백트랙의 주소가 gateway(192.168.100.2 외부로 통하는 통로) 와 같아진것을 확인할수있다.

인터넷도 잘 통한다.

 

이유가 무엇인가? 하면은 지금 윈도우와 백트랙은 같은 로컬 주소에 있고 gateway 밑에 있는 노드들은 외부로 나갈때(정보를 찾을때) mac주소를 통해서 나간다.

 

2계층이 3계층으로 나갈때 맥주소를 이용해서 찾아가는건데 이를 이용해서 백트랙이 자기자신을 라우터처럼 사용해 자기에게 정보를 보내라고 한뒤 그 정보를 정상적으로 보내는 것이다.

 

당하는 사용자(윈도우) 입장에선 정상적인 통신이 이뤄지고 있으니 어떤일인지 모를것이다.

 

파일에 라우터의 주소를 변경되지 않게 하는 방법등을 통해서 막을수가 있다.

 

백트랙에 다시 와서 또다른 명령어창을 연뒤,

 

ettercap -G 를 쳐서 ettercap을 실행시켜주자

 

ettercap이 무엇인가하면은 현재 연결된 데이터를 변조, 삭제 및

프로토콜 상에서의 입력된 비밀번호 조회(FTP, HTTP 등)

위조한 SSL 인증서 전달 등을 할수 있다.

Unified sniffing 을 누른뒤,

현재 설정이 된 eth0를 사용하자.

그럼 자기가 무언가를 할수있다고 뜰것이다.

위에 Hosts를 누르고 Scan for hosts 를 해서 연결된것들이 무엇이 있는지 확인해보자

 

그럼 이렇게 몇개의 호스트가 연결되어있는지 뜰것이다.

 

아마 192.168.100.1, 192.168.100.2, win7등등이 연결됬을것이다.

다시 Hosts에 들어가서 Hosts list를 누르면 어떤것들이 연결되었는지 확인할수 있다.

 

여기서에도 아까했던 공격때문에 mac주소가 같은것을 확인할수 있다.

 

위에 Mitm (= Man in the Middle)탭의 Arp poisoning을 눌러주자,

 

Arp poisoning= 즉 독을 감염시키겠다는 의미인데 arp 를 감염시키겠다는 의미이다.

Sniff remote connections를 눌러서 원격에서 접속하는것들도 받겠다고 하자.

 

그럼

 

이렇게 뜰텐데 누구나 들어와도 다 받겠다는 의미이다.

start를 눌러서 Start sniffing을 해서 sniffing을 시작하자

 

자 그럼 이제 백트랙은 윈도우에서 외부로 보내는 정보와 받는 정보를 다 볼수 있게 되는것이다.

 

한번 윈도우에서 로그인이나 다른것들을 해보자

단 https 같은 사이트는 이렇게 오류가 뜨게 된다.

 

위에 210.89.164.56 는 네이버 로그인 페이지 이다. ㅎ ;;

 

위에서 설명했던대로 telnet이나 ftp, http 등을 사용하는 사이트는 알수 있다.

192.168.100.127은 따로 만든 http 사이트 주소이다.

 

USER, PASSWORD 둘다 잘 나와있다.