ARP Spoofing 실습 -wireshark 사용

먼저 VM 2개 준비

192.168.224.129

[Victim]으로 사용될 VM

192.168.224.130

[Attacker]로 사용될 VM

 

각각 V, Victim과 A, Attacker로 지정한다.

 

※ arp spoofing을 진행하게 되면 MAC주소가 바뀐다. 근데 이걸 되돌릴 수 있는 방법이 없어서 나중에 다시 하려면 지금 단계에서 스냅샷 찍어두기!!

 

Attacker와 Victim 간의 통신을 확인해보자!

ping을 쳐보니 서로 잘 되는 상황!

 

이제 victim에서 arp table을 확인해보자!

arp -a 명령어를 사용하여 확인해보니, 게이트웨이와 Attacker가 보인다.

지금은 두 MAC 주소가 서로 다름을 알 수 있다.

 

이제 arpspoofing을 하면 vimtim->gateway의 세션이 끊어진다.

그럼 나중에 arpspoofing도 끊어지니까 fragrouter를 해줘야 한다!

sudo fragrouter -B1

을 해주는데 이때 B1은 데이터의 변조 없이 그냥 바로 보낸다는 것...

 

이제 본격적인 스푸핑!

sudo arpspoof -t [타겟] [host]

를 입력해주면 된다.

여기서 타겟을 속일 대상, victim이 되고 host는 속일 목적지? 우리는 게이트웨이가 된다.

 

스푸핑을 했으니 다시 victim에서 arp table을 보자!

아까와 달리 게이트웨이와 Attacker의 MAC주소가 같아졌음을 확인할 수 있다.

성공👏👏

 

이제 victim을 살펴볼 수 있는데, 확인해보자!

Attacker에서 Wireshark에 들어가자.

만약 와이어샤크가 안된다면?

limu-study.tistory.com/8

패킷이 쌓이고 있으면 Victim에서 https를 지원하지 않는 사이트에 접속할 차례.

http로 주소창에 자물쇠가 안뜨거나 그어져 있는 곳만 가능하다!

여기서는 고려대 홈페이지(www.korea.ac.kr/mbshome/mbs/university/index.do)를 사용했다.

 

다시 Wireshark로 들어가자!

여기서 우리가 필요한건 victim의 http이므로 Destination에 victim의 ip가 있는것, 그중에서 Protocol이 http인 것을 찾아서 눌러 들어가면...

쭈욱 내리면서 살펴보면 victim이 접속해있는 url을 볼 수 있다!

성공👏👏