Report - Leo-Mun/UROP_SDN GitHub Wiki

실습환경 (리눅스노트북 2대 라우터2대)

공격자PC은 라우터와 희생자PC에게 각각 ARP Spoofing공격과 IP 포워딩을 함

희생자PC은 라우터를 공격자PC으로 인식 & 라우터는 희생자PC을 공격자PC으로 인식

목표 : 공격자PC가 희생자와 라우터가 통신할때 패킷을 훔쳐서 확인하고 조작하기

결과 :

<Ping을 이용하여 공격이 잘 되었는지 확인>
희생자PC에서 라우터에게 핑을 보내는 상황에서 공격자PC의 와이어샤크로 패킷을 가로채고
IP포워딩을 통하여 라우터에게 다시보내고 라우터의 리턴값을 가로채고 다시 희생자에게 보내서
성공적

<희생자PC에서 네이버 접속>
희생자PC에서 네이버를 접속할때 희생자PC가 DNS에게 요청하는 패킷은 와이어샤크에서 확인이 되었다
하지만 요청패킷만 보내고 리턴패킷은 오지 않는것으로 확인이 되어서 희생자PC는 인터넷이 불가능하였다

의문점 : ARP Spoofing을 하는 코드가 잘못된 것인가?
IP 포워딩이 잘못 된 것인가?
실습환경이 문제가 있는가?

실습환경 : 변화없음

추가사항 : 교수님께서 DNS 이용을 하지말고 직접 네이버IP로 접속하라는 조언

결과 : 변화없음

의문점 : 네이버 주소가 아닌 IP로 접속했음에도 불구하고 와이어샤크로 패킷을 본 결과 DNS를 거치는 것을 확인함
실습환경에 문제가 있음을 예상해봄 (모든PC가 와이파이라 인터넷속도 문제, 운영체제가 취약한 XP가 아닌 문제)

실습환경 (리눅스노트북 1대 데스크탑 1대 라우터1대)

추가사항 : 희생자PC는 와이파이를 사용하지 않고 유선을 사용함

공격자PC(리눅스노트북)은 라우터와 희생자PC(데스크탑)에게 각각 ARP Spoofing공격과 IP 포워딩을 함

희생자PC은 라우터를 공격자PC으로 인식 & 라우터는 희생자PC을 공격자PC으로 인식

목표 : 공격자PC가 희생자와 라우터가 통신할때 패킷을 훔쳐서 확인하고 조작하기

결과 :

<공격자가 패킷을 보내는속도 1.5초>
희생자PC가 인터넷 접속이 되지 않았다가 30 ~ 60초가 흐른뒤 접속이 되었다.
네이버IP와 네이버주소 둘다 접속이 가능하였다.
희생자PC의 인터넷속도는 상당히 느렸고, 네트워크 상태가 불안해보였다.

<공격자가 패킷을 보내는속도 3초>
희생자PC가 아까보다 인터넷 접속이 안정적이었지만 꾸준히 인터넷이 되지 않은 문제점이 있었다.

<공격자가 패킷을 보내는속도 0.5초>
희생자PC가 인터넷 접속이 되지 않았다.

문제점 : ARP Spoofing 공격중에 인터넷이 순간순간 되었는데 이 현상이 IP 포워딩을 하여 된건지
아니면 순간적으로 희생자PC가 정상적인 MAC Table을 가져서 인터넷 연결이 된건지?
와이어샤크로 패킷을 본 결과 쓸모 없는 패킷이 너무 많이 나오고 아직 모르는 부분이 많아서 패킷을 이해하기 힘듬