DNS 스푸핑 공격

DNS 스푸핑 공격

DNS 요청에 위조된 패킷을 보내는 방법

1. 공격자는 네트워크에 공격용 웹서버를 열어두고 대기하고 있는다.
2. 네트워크에 DNS 서버로 보내지는 패킷이 있는지 확인한다.
   • 목적지가 자신이 아닌 패킷은 읽지 않고 버려야하지만 설정을 변경해서 모든 패킷을 읽어오게 한다.
3. DNS 서버로 보내지는 패킷이 있다면, 그것을 보낸 PC에게 자신이 원하는 변조된 IP를 전송한다.
   • 보통은 공격자가 DNS 서버보다 물리적으로 가까이 있으므로 공격자가 보낸 패킷이 DNS 서버가 보낸 정상적인 패킷보다 먼저 도착한다.
   • PC는 먼저 받은 답변이 DNS의 것이라고 믿고 있기 때문에 나중에 온 정상적인 패킷은 버려진다.
4. PC는 변조된 IP로 접속을 하게 된다.

DHCP 서버를 위조하는 방법

대부분의 PC나 스마트폰 등은 DHCP를 이용하여 자동으로 IP 를 할당받는다. 그리고, IP 를 할당 받을때 자동으로 DNS 서버의 IP 도 할당 받게 되어 있다. 그런데, 해커가 사설 DHCP 서버를 열어 두고, 위조된 DNS 서버 정보를 주는 방법이다.

그 이후는 위와 동일하다.

사실 DHCP 서버를 위조할 수 있을 경우, 게이트웨이 IP 를 해커의 컴퓨터로 지정하게 만드는 방법이 더 널리 사용된다. 그럴 경우, 피해자의 모든 트래픽은 해커의 컴퓨터를 거쳐서 지나가게 되므로, 지나가는 패킷을 확인해서 암호를 비롯한 개인정보를 훔쳐볼 수 있게 된다.

reference : https://namu.wiki/w/DNS%20%EC%8A%A4%ED%91%B8%ED%95%91

reference : https://m.blog.naver.com/PostView.nhn?blogId=ynca333&logNo=220677430959&proxyReferer=https%3A%2F%2Fwww.google.com%2F#