ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • DNS Cache Poisoning Attack
      공부합시다!/모의해킹 2022. 1. 18. 14:47
      728x90

      DNS (Domain Name System)는  IP Address와 더불어 Internet System의 근간을 이루고 있습니다.

      2003년 SQL Slammer Worm 당시에도 인터넷이 문제였던 것이 아니라 전세계 DNS Server의 

      60%정도가 감염이 되어 문제가 되었습니다.

      오늘은 바로 이 DNS에 대해서 공격과 방어를 수행합니다.

       

      1. DNS(Domain Name System)

       1.1. 네트워크 상에서 컴퓨터들은 IP주소를 이용하여 서로를 구별하고 통신.
       1.2. 사람들이 네트워크를 통해 원격의 컴퓨터에 접속하기 위해서는 IP주소를 이용하여야 하지만,
       숫자의 연속인 IP주소를 일일이 외울 수 없기 때문에 쉽게 기억할 수 있는 도메인 주소 체계 확립.
       1.3. DNS(Domain Name System)은 도메인이름의 수직적인 체계.

      출처 : https://한국인터넷정보센터.한국/jsp/resources/dns/dnsInfo.jsp

       

      2. DNS Cache Poisning

       2.1. DNS 순환쿼리에 대해서 검증없이 가장 빠른 응답을 자신의 Cache에 저장.
       2.2. 차후 다른 시스템에서 동일한 쿼리를 요청받으면 Cache 저장된 DNS 정보를 서비스함.
       2.3. Cache에 잘못된 정보를 전송,저장하여 악성사이트로 유도.(Fishing 비하여 파급효과가 큼)

      출처 : https://한국인터넷정보센터.한국/jsp/resources/dns/dnssecInfo/dnssecInfo.jsp

       

      3.DNS Cache Poisoning Attack

       3.1. KaliEttercap Tool 사용. Spoofing공격을 통해서 KaliGateway 역할을 수행함.
       3.2. Kali Ettercap Tool이 변조된 DNSPC로 전송.
       3.3. Victimnaver.com 접속을 시도, 변조된 DNS 의해서 Kaliapache2 웹사이트로 접속됨.

      DNS Cache Poisoning Attack

      728x90

       

      4. 공격 절차

       4.1. nslookup 질의 

       4.2. 정상적인 답변 확인

       4.3. Kali의 Ettercap 설정 변경

        4.3.1. # vi /etc/ettercap/etter.dns

       4.4. naver.com 의 ip를 Kali의 IP로 설정 

      etter.dns 설정 변경

       

       4.5. ettercap실행

       4.6. ettercap IPv6 Error 해결

        4.6.1. # echo > /proc/sys/net/ipv6/conf/eth0/use_tempaddr

       4.7. sniff 실행

        4.7.1. sniff -> Unified sniffing 

       4.8. hosts scan

        4.8.1. hosts -> Scan for hosts -> Hosts list

      ettercap sniff 설정

       

       4.9. Target Select 

        4.9.1. Target1 : 공격대상(Victim) 선택 Windows Client (W10-1)

        4.9.2. Teaget2 : Gateway 주소 선택

        4.9.3. ARP Poisoning 공격을 통해서 Kali가 Gateway 역할을 수행

        4.9.4. Sniff remote Connections 체크하여 원격 연결 sniffing 

      MITM 설정

       4.10. Plugins를 통해서 가짜 DNS 주소를 지속적을 발송

        4.10.1. Plugins -> Manage the plugins -> dns_spooff 클릭

        4.10.2. Windows 10에서 nslookup 

        4.10.3. naver.com. 질의에 10.0.0.1 응답 (여기서는 1.0.0.1)

        4.10.4. 브라우저 실행하여 naver.com을 입력하면 Kali의 apache2에 접속됨

                 이때 당연히 Kali에서 apache2를 실행 # systemctl start apache2

      Attack

      Fishing은 URL주소를 자세히 보면 URL이 기존 URL과 달라서 쉽게 구별할 수 있지만 

      Pharming 공격은 DNS를 조작하기 주의 깊게 살펴보지 않으면 쉽게 당할 수 있습니다.

      특히 연세가 있으신 분들은 SSL 적용 즉 https 적용여부를 살피지 않기에 더 쉽게 당할 수 있습니다.

      DNSSEC 설정등을 통해서 신뢰하지 않는 DNS의 정보는 수신하지 않도록 합니다.

       

      몇년전 제게온 sns를 확인하여 가상머신으로 접속해 본 phishing 사이트 입니다.

      어느 쪽이 원본인지는 아시지요!

      phishing site

       

      Have a nice day!

      728x90
      저작자표시 비영리 변경금지

      '공부합시다! > 모의해킹' 카테고리의 다른 글

      Metasploitable3 : SNMP Vulnerability Attack (Exploit)  (0) 2022.02.19
      Metasploitable3 : FTP & SSH Vulnerability Attack (Exploit)  (0) 2022.02.16
      DHCP Starvation Attack  (0) 2022.01.17
      Metasploitable3 설치 : 2022년 1월 14일 작성  (0) 2022.01.14
      칼리리눅스 한글, Kali Linux 2021 한글화  (0) 2021.12.17

      관련글 관련글 더보기

    Designed by Tistory.

    티스토리툴바