3. - 3 -
DNS
DNS(Domain Name Server)는 IP주소를 특정문자열로 매칭시켜주는 서버
이자 서비스이다 .인터넷 브라우저 주소창에 www.naver.com 을입력하면
자동으로 홈페이에 접속되면서 메인 홈페이지가 띄워지는데 DNS는
www.naver.com 이란문자열을 실제 서버 IP주소와 매칭시켜 IP주소를 모
르더라도 쉽게 웹페이지에 접속할수있게 해준다
DNS 스푸핑
정상적인 DNS동작은 호스트가 주소창에 문자열을 입력하면 DNS query라
는 패킷를 DNS서버에 보내고 응답을 받아 IP주소로 매칭되어 웹페이지를
이용하는데 DNS 스푸핑은 공격자가 DNS패킷을 가로채고 패킷을 조작하여
응답해주어 위조된 서버로유도 하는것이다 이과정은 DNS 패킷이 먼저도착
한 패킷을 신뢰하는 UDP방식이기에 가능한 것이며 공격자는 이를위해
ARP스푸핑같은 사전작업이 필요하다(그림 9-21참초)
4. - 4 -
실습환경
DNS스푸핑으로 패킷을 조작하고 위조된 웹서버로 유도하려면 위조된 웹서
버,공격자,공격대상자 촐 3대가 필요하다 툴은 arpspoof,dnsspoof이 필요
하며 arp스푸핑으로 공격대상자의 패킷흐름을 장악하고 DNS스푸핑을 시도
한다
실습과정
먼저 각PC들의 IP,MAC 주소이다
정윤상이 공격
박종빈이 웹서버
박동진(필자)이 공격대상자
이다 (그림 가-1 참조)
공격자는 ARP스푸핑을 통해
자기 MAC주소를 게이트웨이 역할로
할당하여 공격대상의 패킷흐름을 장악하고
DNS스푸핑을 통해 위조된 웹페이지로
유도한다 웹서버는 위조된 웹페이지를
httpd 데몬을 통해 가동시키고
공격대상자는 flushdns만 하면된다
먼저 공격자가 arpspoof툴로 공격대상의 게이트웨이를 자신으로 만든다
그림 가-2
그림 가-3
참조
(그림 가-2)
그림 가-1
5. - 5 -
(그림 가-3)
성공적으로 공격대상자의 게이트웨이가 공격자로 되어있는걸 볼 수 있다
빨간색 네모칸을 보면 공격자의 MAC주소가 게이트웨이의MAC주소랑 일치
하는걸 볼 수 있다 흰색네모는 서버이다 (그림 나-1참조)
(그림 나-1)
(그림 다-1)
6. - 6 -
그다음 위조된 웹서버를 구축한다 기본 index.html 에 소스코드를 조금 바
꾸어 실습환경을 나타내도록 하게하였다( 위의 그림 다-1)
그다음 공격대상자의 dns캐시를 삭제해준다(그림 나-2참조)
(그림 나-2)
그다음 fragrouter툴 로 패킷을 릴레이 해준다(그림 가-4참조)
(그림 가-4)
그다음 vi에디터로 그림 가-5 파일을 열어 DNS스푸핑을 위해 그림 가-6처
럼 입력하고 저장한다
(그림 가-5)
7. - 7 -
(그림 가-6)
그다음 그림 가-7처럼 입력하고 결과가 이처럼 나오면 DNS 스푸핑이 되고
있는것이다
(그림 가-7)
공격대상자가 www.naver,com www.google.com 으로 접속해보고 그림
다-1의 위조서버가 나타내면 성공적으로 DNS 스푸핑이 된 것이다
(그림 나-3 , 나-4 참조)
(그림 나-3)
8. - 8 -
이와같이 평소에 자주 즐겨찾는 사이트를 DNS 스푸핑을 통해 조작된 웹페
이지로 유도해 아이디,비밀번호 또는 금융정보 까지도 획득할수 있을것이다
대응방법
실습에서 보다시피 위험한 DNS 스푸핑 공격은 개인정보유출 위험도가 높
아보이는 공격인데 대응방법으로는 ARP 스푸핑 대응법인 arp 테이블을 정
적으로 고정시키는 것처럼 DNS 스푸핑도 hosts 라는 파일에 도메인과 IP
주소를 정적으로 고정시켜주면 그에해당하는 사이트는 DNS 스푸핑 공격이
통하지가 않는다 외부에 있는 DNS서버에 패킷을 보낼필요가없이 로컬에에
서 DNS를 참조하기 때문이다 과정으로는 다음과 같다
hosts 파일은 C:WindowsSystem32Driversetc 에 위치해있으며 cmd
커맨드창에서 ping 명령어를 통해 도메인을 입력하여 IP주소를 알아낸후
파일을 열고 IP 와 도메인을 입력하여 저장해주면 된다
(그림 라-1, 라-2 참조)
(그림 나-4)
9. - 9 -
(그림 라-1)
(그림 라-2)
위와같은 작업을 수행하여 www.google.com www.naver.com 사이트에 접
속해보고 아래와 같이 정상정으로 뜬다면 성공적으로 대응이 된 것이다
(그림 바-2,바-1 참조)