본문 바로가기
대학공부/인터넷 프로토콜

ARP Spoofing(ARP Cache Poisoning)

by 진진리 2024. 4. 12.
728x90
  • ARP Spoofing
    • ARP 캐시 테이블(동적인 IP와 MAC)이 공격 대상(정보 변경이 목적)
    • 공격자가 지속적으로 ARP 응답을 보냄으로써 캐시 테이블을 변조 시키는 것
    • 공격자는 MAC 주소를 위장해야 하므로 같은 네트워크에 위치해야 함

 

Alice가 Bob의 정보를 얻음

192.168.10.7 / BB:BB:BB:BB:BB:BB (정상적인 정보)

동적으로 저장되었다면 시간이 지나면 삭제되는 것을 허용

공격자는 정상적인 ARP Cache를 가지고 있음

 

step 1.

Alice에게 요청 패킷을 받으면 공격자는 가상 reply 패킷 응답을 192.168.10.7 / CC:CC:CC:CC:CC:CC로 전송

동일하게 Bob에게도 192.168.10.5 / CC:CC:CC:CC:CC:CC으로 전송

Bob은 아무런 검증 없이 MAC 주소를 업데이트

 

step 2.

Alice는 공격자를 Bob으로, Bob은 공격자를 Alice로 착각하여 전송

패킷을 받은 공격자는 Alice와 Bob의 데이터를 볼 수 있으며 받은 패킷을 실제 상대방에게 포워딩해줌

 

  • 보안 대책
    • 시스템 가동 시마다 ARP를 정적으로 구성 - 자동화된 프로그램 사용 등
      • 클라이언트 - 서버 구조의 경우 서버에 XArp, Kali Linux 등과 같은 프로그램을 설치
      • Cache의 mapping 관계가 달라지면 알림을 줌(변경 감지)

 

'대학공부 > 인터넷 프로토콜' 카테고리의 다른 글

인터넷 프로토콜(IP)  (0) 2024.04.19
DHCP Spoofing  (0) 2024.04.19
동적 호스트 설정 프로토콜(DHCP)  (1) 2024.04.05
주소 변환 프로토콜(ARP)  (1) 2024.03.29
근거리 통신망: 유선 이더넷  (0) 2024.03.29