Penetration Testing 2015.11.11 명지대학교 홍석원 Network Security Penetration Testing 2015.11.11 명지대학교 홍석원
Spoofing 정의 Spoofing(스푸핑)은 ‘속이다’라는 의미. 유형 ARP Spoofing IP Spoofing DNS Spoofing
ARP (Address Resolution Protocol) 정의 ARP(주소 결정 프로토콜)은 네트워크에서 IP 주소를 물리적 네트워크 주소로 대응(bind)시키기 위해 사용되는 프로토콜.
ARP (Address Resolution Protocol) 예시 IP Host A가 IP Host B에게 IP 패킷을 전송하려고 할 때, IP Host B의 물리적 네트워크 주소를 모른다면, ARP를 사 용하여 목적지 IP 주소 B와 브로드캐스팅 물리적 네트워크 주소 FFFFFFFFFFFF를 가지는 ARP 패킷을 네트워크에 전송. IP Host B는 자신의 IP 주소가 목적지에 있는 ARP 패킷을 수신하면 자신의 물리적 네트워크 주소를 A에게 응답.
ARP (Address Resolution Protocol) 보안문제 ARP 정보는 누가 보냈는지를 검증할 수 있는 수단 이 없기 때문에, 만약 같은 네트워크에 있는 사용 자가 변조된 정보를 보낼 경우 그 정보를 받은 사 용자는 잘못된 MAC 주소로 패킷을 보내게 됨. 이를 이용한 공격에는 ARP Spoofing이 있음.
Arp Spoofing ARP Spoofing은 로컬 네트워크에서 통신하고 있는 목적지 IP 주소에 대한 MAC 주소를 Attacker의 MAC 주소로 속여, A > B 패킷이나 B > A 패킷을 중간에서 가로채는 공격. Attacker는 패킷을 읽고 확인(Sniffing)한 후, 정상 목적지로 향하도록 다시 돌려보내 연결이 끊어 지지 않도록 유지(Proxy).
ARP Spoofing Target Destination Packet Relay ARP Spoofing Packet Capture Attacker
ARP Spoofing Normal Traffic
ARP Spoofing ARP Spoofing
ARP Spoofing ARP Poison Routing
DNS Spoofing DNS (Domain Name System) 웹 브라우저의 주소창에 입력되는 문자 주소인 도메인 주소를 IP 주소로 변환시켜 주는 시스템. DNS Spoofing 도메인 주소를 IP 주소로 변환하는 과정을 속이는 해킹 기법.
DNS Spoofing Connect DNS Server Fake Destination DNS Query ARP Spoofing Target Attacker DNS Spoofing
DNS Spoofing Normal WAN Traffic
DNS Spoofing ARP Poison WAN Routing
Penetration Testing Oracle VirtualBox VirtualBox는 본래 InnoTek가 개발한 뒤, 현재는 Oracle이 개발 중인 소프트웨어(제한된 GPL 버전). 리눅스, OS X, 솔라리스, 윈도를 게스트 운영 체제 로 가상화하는 가상화 소프트웨어. https://www.virtualbox.org/
Penetration Testing 실습 환경 Guest x 2 (Attacker, Target) Microsoft Windows 7 Professional K with SP1 x86 1 CPU Memory 512 MB HDD 25 GB (OS 약 7 GB) Video Memory 18 MB No Audio
Penetration Testing 실습 환경 Host OS 무관 Dual Core CPU 이상 권장 Memory 3 GB 이상 권장 HDD 80 GB 이상 권장
Host (VirtualBox) (Gateway, DHCP) Penetration Testing Host (VirtualBox) (Gateway, DHCP) Guest Attacker Guest Target VirtualBox NAT Network
Penetration Testing Guest User / Password : User / hack 동일한 네트워크에 있는지 확인. (ipconfig)
Penetration Testing Target에서 http://www.daum.net 접속
Penetration Testing Target에서 Gateway MAC 주소 확인 (arp -a)
Penetration Testing Attacker에서 Sniffer 탭으로 이동 후, Start Sniffer
Penetration Testing Attacker에서 빈 리스트 Mouse 우클릭 후, Scan
Penetration Testing Attacker에서 빈 리스트 Mouse 클릭 후, Add to list
Penetration Testing Attacker에서 Target과 Gateway 지정
Penetration Testing Attacker에서 공격 (Start ARP Spoofing)
Penetration Testing Target에서 Gateway MAC 주소가 변조됨 (arp -a)
Penetration Testing Attacker에서 Target의 https connection 정보를 탈취
Penetration Testing Attacker에서 Target의 인증서를 탈취
Penetration Testing Attacker에서 DNS Spoofing 설정
Penetration Testing Target의 DNS 캐시를 지움 (ipconfig /flushdns)
Penetration Testing Target에서 http://www.daum.net 접속 Attacker가 DNS Spoofing -> Fake Destination 접속 기존 서버와 똑같이 구현하여, 파밍 후 개인 정보 탈취 가능
Warning !!! 모의해킹은 학업을 위해 제한된 환경에서만 실행. 실제 네트워크 상에서 실행하여 역탐지되면, 민형사상 법적 책임이 부과될 수 있습니다.
Q & A
Thanks