ETTERCAP - The Easy Tutorial - Ettercap은 무엇인가?

Ettercap Ettercap은 무엇인가?
최종 업데이트: Jul 21 2011

Tool
Install
Ergonomy
Forum


Details Ettercap은 무엇인가?
설치방법
ARP 포이즈닝
중간자 공격 (MITM, Man-in-the-middle Attack)
통계
대응책

Korean translation by Youngbin Benjamin Im helped by powerhan96.


⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!

Ettercap


Ettercap은 LAN 상에서 “중간자 공격”을 쉽게 할 수 있도록 만들어진 프로그램으로 Alberto Ornaghi (ALoR) 와 Marco Valleri (NaGA)에 의해 제작 되었다. 명령행 인자방식(CLI)에 익숙하지 않은 사용자들도 쉽게 사용할 수 있도록 편리한 그래픽 인터페이스를 제공하는 것이 특징이다.

Ettercap은 자기 자신을 중간자로 변형시키는 방법으로 ARP 프로토콜을 공격한다. 이것을 포이즈닝이라고 하는데, 한번 포이즈닝이 완료되면 Ettercap을 통해 다음과 같은 결과를 얻을 수 있다.
- 현재 체결된 연결 상에서 데이터를 감염, 변조, 삭제
- FTP, HTTP, POP, SSH1 등의 프로토콜 상에서 비밀번호 조회
- 특정 대상의 HTTPS 섹션 상에 위조된 SSL 인증 전달
- 기타…

플러그인을 통해 기능확장이 가능하며 DNS 스푸핑 플러그인과 같은 다양한 플러그인이 있다.

중간자 공격이란?
중간자 공격은 아래 그림에서와 같이 서로 통신중인 두 대의 PC 중간에 공격자의 PC를 위치시키는 것으로 시작된다.
중간자 공격은 아래 그림에서와 같이 서로 통신중인 두 대의 PC 중간에 공격자의 PC를 위치시키는 것으로 시작된다. 이런 구조가 갖춰지고 나면 공격자는 다양한 방법으로 아주 위험한 공격을 시도할 수 있는 상태가 되는데 이는 두 PC가 주고 받는 모든 메시지가 공격자의 PC를 경유하기 때문에 가능하며 이런 형태의 공격용 PC를 중간자(man in the middle)라고 한다.

중간자가 되기 위한 방법은 여러 가지가 있다. 본 설명서에서는 ARP 프로토콜을 이용한 공격을 기준으로 설명할 것이다.

ARP 프로토콜은 3레이어 프로토콜로써 IP 주소(예:192.168.1.1)를 물리적인 네트워크 카드 주소나 MAC 주소(예:0fe1.2ab6.2398)로 변환하는 역할을 한다.
하나의 장치가 특정 네트워크 자원에 접근하기 위해서는 우선, 주어진 IP와 일치하는 MAC주소 찾기 위해 다른 여러 장치로 MAC정보를 알려달라는 요청을 보내고, 그 응답을 받아 ARP 캐시에 저장한 후, 다음 동일한 주소로 접근할 때 캐시의 정보를 이용하여 빨리 찾을 수 있게 하는 과정을 거친다. 공격의 시작은 이와 같이 IP주소와 일치하는 MAC주소를 요청하는 순간 일어난다. 공격자는 정상적인 요청을 가로채어 공격자의 MAC주소가 포함된 패킷을 요청한 IP와 함께 요청자에게 보낸다. 이렇게 되면 요청자는 요청한 IP주소와 공격자의 MAC주소를 가지게 된다. 이러한 공격을 “ARP 포이즈닝” 또는 “ARP 스푸핑”이라 부르며 공격자와 피해자는 같은 브로드캐스트 도메인 내에 존재해야 한다. 즉 동일한 하위 네트워크에 존재해야 한다. (예: 192.168.1.1 255.255.255.0)
아래 그림에서와 같이 192.168.1.2를 가진 PC가 로컬 네트워크를 통해 인터넷 자원에 접근하는 실제 상황을 토대로 설명을 진행할 것이다. ARP 포이즈닝 공격이 시작되고 나면, Ettercap이 설치된 192.168.1.100 IP주소를 가진 PC가 중간자로 설정된다.

ettercap man in the middle attack

                                         

Ettercap PC가 하는 역할을 잠시 집고 넘어가자.

-
 
-
 
-
 
 
 
 Ettercap이 실행되면, IP 포워딩의 주체가 커널에서 Ettercap으로 넘어온다. 즉, 패킷 포워딩을 Ettercap이 직접 관장한다.
패킷의 기계적 처리시간으로 인해 두 PC간의 네트워크 성능이 저하될 수 있다.
- Ettercap은 링크 계층(레이어 2)의 소켓을 사용해야 하므로 루트 권한이 필요하며, 초기화 단계 이후에는 더 이상 루트 권한이 필요하지 않으므로 UID를 65535(nobody)로 낮춘다. Ettercap은 로그 파일을 생성해야 하므로 실행/쓰기 권한이 있는 디렉토리에서 실행되어 야 한다.
The goal of our tutorial is to provide warning about the danger of "man in the middle" attacks by ARP spoofing. 본 설명서의 최종 목적은 ARP 스푸핑으로 인한 중간자 공격의 위험성을 경고하기 위함이다. [ARP 포이즈닝 설명서]에서 Ettercap을 중간자로 설정하는 방법에 대해 설명한 후 [Filtering 설명서]에서 몇 가지 공격 방법을 보여줄 것이다. 마지막으로, 이러한 ARP 포이즈닝 공격에 대한 [대책]에 대해서도 기술할 것이다.


An interview about the Ettercap authors can be found on the newsforge website. It is slightly out of date (2004) but remains interesting.