ARP 스푸핑

From IT Wiki
Revision as of 18:27, 5 June 2020 by 122간다 (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

공격 환경

  • 같은 대역에 있을 경우에만 가능하다.
  • 주소를 속이기 위해 공격 대상 호스트에 대한 정보 수집이 필요하다.
  • 모든 패킷을 허용하는 Promiscuous Mode가 설정되어야 한다.

과정

  • 공격자는 다른 호스트 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply를 망에 지속적으로 브로드캐스트한다.
  • 희생자는 ARP Reply 메시지를 받고 자신의 ARP Cache Table에 있는 해당 IP의 MAC 주소를 공격자의 MAC 주소로 바꾼다.
  • 희생자는 원래 다른 호스트에 전송해야 할 메시지를 공격자에게 전송하게 된다.

확인

  • ARP Table을 보았을 때 다른 IP에 대한 같은 MAC 주소가 보이면 ARP 스푸핑을 의심할 수 있다.
인터페이스: 192.168.0.2 --- 0x2
  인터넷 주소           물리적 주소           유형
  192.168.0.1           00-36-6c-6c-2c-00     동적
  192.168.0.44          01-00-00-00-00-02     동적
  192.168.0.31          01-00-00-00-00-02     동적

대응

  • ARP Cache Table을 정적(Static)으로 구성한다.
# arp -s [IP주소] [MAC 주소]
  • SSL 방식을 적용하여 중요 정보는 암호화 통신한다.
  • 포트가 수용할 수 있는 MAC 주소의 개수를 지정한다.

IP 스푸핑과의 비교

구분 IP 스푸핑 ARP 스푸핑
위조 대상 IP 주소 MAC 주소
공격 장비 라우터 스위치
ISO 계층 3계층 2계층
공격 범위 외부 인터넷 내부 인트라넷