ARP Spoofing(ARP Cache Poisoning)

• ARP Spoofing
  • ARP 캐시 테이블(동적인 IP와 MAC)이 공격 대상(정보 변경이 목적)
  • 공격자가 지속적으로 ARP 응답을 보냄으로써 캐시 테이블을 변조 시키는 것
  • 공격자는 MAC 주소를 위장해야 하므로 같은 네트워크에 위치해야 함

 

Alice가 Bob의 정보를 얻음

192.168.10.7 / BB:BB:BB:BB:BB:BB (정상적인 정보)

동적으로 저장되었다면 시간이 지나면 삭제되는 것을 허용

공격자는 정상적인 ARP Cache를 가지고 있음

 

step 1.

Alice에게 요청 패킷을 받으면 공격자는 가상 reply 패킷 응답을 192.168.10.7 / CC:CC:CC:CC:CC:CC로 전송

동일하게 Bob에게도 192.168.10.5 / CC:CC:CC:CC:CC:CC으로 전송

Bob은 아무런 검증 없이 MAC 주소를 업데이트

 

step 2.

Alice는 공격자를 Bob으로, Bob은 공격자를 Alice로 착각하여 전송

패킷을 받은 공격자는 Alice와 Bob의 데이터를 볼 수 있으며 받은 패킷을 실제 상대방에게 포워딩해줌

 

• 보안 대책
  • 시스템 가동 시마다 ARP를 정적으로 구성 - 자동화된 프로그램 사용 등
    • 클라이언트 - 서버 구조의 경우 서버에 XArp, Kali Linux 등과 같은 프로그램을 설치
    • Cache의 mapping 관계가 달라지면 알림을 줌(변경 감지)