Cain&Abel 을 활용한 ARP spoofing 실습

1. Cain&Abel 이란 ?

먼저 해당 툴은 "http://www.oxid.it/cain.html" 사이트에서 운영체제 버전별로 다운받을 수 있다.

위의 그림을 살펴보면 Cain&Abel 툴에 대한 소개를 하는 것을 알 수 있는데 간단히 번역을 해보았다.

Cain&Abel 툴은 Microsoft 운영체제 용 암호 복구 도구이다. 

툴에 내장된 기능으로는 사전 공격, 무차별 대입 공격, 암호 해독, 무선 네트워크 키 복구. 스니핑 등이 있다.

2. ARP spoofing 이란?

시작에 앞서서 먼저 ARP 에 대해 먼저 알아보자.

ARP(Address Resolution Protocol)은 간단히 정의하자면 MAC 주소를 IP로 변환하는 프로토콜 이라고 할 수 있다.

MAC 주소는 L2 계층 IP는 L3 계층임으로 두 계층  사이에서 변환 시켜주는 프로토콜이라고 이해할 수 있다.

그 다음에 살펴 볼 ARP spoofing의 원리는 간단하다. 

근거리 네트워크(LAN) 환경에서 통신하는 두 대상의 MAC 주소를 공격자 자신의 MAC 주소로 바꾸어 

중간에서 (Man in the Middle Attack) 패킷을 가로채는 공격이다.

3. Cain&Abel을 이용한 실습

1) 실습환경 

- 공격자 PC

   → 운영체제 : Windows 7

   → IP : 211.169.200.209

- 피해자 PC-1 

   → 운영체제 : Windows 7

   → IP : 211.169.200.201

- 피해자 PC-2

   → 운영체제 : Windows 7

   → IP : 211.169.200.203

2) 실습과정

Cain&Abel을 실행시키고 Sniffer -> Home 에서 Adapter를 클릭한다.

"Scan MAC Address"를 클릭하면 다음과 같은 창이 출력되고 "OK" 버튼을 클릭한다.

다음과 같이 스캔이 되는 것을 확인할 수 있다. 

( 공인IP 환경에서 여러대 PC를 이용해서  실습하였다. )

ARP 항목을 클릭 후 상단의 + 키를 입력 하면 다음과 같은 창이 출력 된다.

좌측은 피해자 IP 주소 우측은 공격자 MAC 주소로 사용할 IP 주소를 선택하고 "OK" 버튼을 클릭 한다.

다음과 같은 창이 출력 된 다음 상단의 방사능(?) 버튼을 클릭 하면 공격을 시작한다.

다음과 같이 상태가 변하는 것을 확인할 수 있다.

피해자 PC에서 "arp -a" 명령어를 치면 위 그림과 같이 MAC Address가 같아진 것을 확인할 수 있다.

이제 공격자는 통신하는 근거라 통신 내 두 피해자 PC 사이에서 MITM 공격을 할 수 있게 되었다.

패킷등을 수집함으로서 피해자의 ID 와 PW 혹은 개인정보 등을 탈취가 가능해지게 된다.

"Cain & Abel" 이외에 ARP spoofing을 수행할 수 있는 "Ettercap" 이라는 툴도 있다.

해당 툴은 Kali Linux에 기본으로 내장되어 있기때문에 해당 운영체제가 설치되어 있다면 따로 설치할필요는 없다.