[ARP 스푸핑 공격] _ 2019.01.21
ARP 란?
- Address Resolution Protocol의 약자로서 IP주소를 MAC주소로 변환해주는 프로토콜이다.
- IP 주소와 이에 해당하는 물리적 네트워크 주소 정보는 각 IP 호스트의 ARP 캐시라 불리는 메모리에 테이블 형태로 저장된 후 패킷 전송 시 사용 된다.
- cmd에서 arp -a 명령어를 통하여 IP 주소와 MAC 주소를 확인할 수 있다. (리눅스의 경우 arp)
* ARP Cache Table은 MAC 주소와 IP 주소를 보유하고 있는 테이블이다. (정보 저장 시간 일반적으로 2분, 2분 이내에 다시 통신을 한다면 10분으로 연장)
* RARP는 Reverse Address Resolution Protocol 로 ARP의 반대 역할을 한다. (MAC 주소 값으로 IP 주소 값을 알아내는 프로토콜)
스푸핑(spoofing) 이란?
- 사전적인 의미로 '속이다' 라는 뜻을 가지고 있다.
- 즉, 스푸핑 공격이란 속이는것을 이용한 공격 기법들을 얘기한다.
ARP 스푸핑이란.. _ LAN에서 ARP를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 기법이다.
- 위의 그림을 보면 공격자가 클라이언트가 서버에게 보내는 패킷을 먼저 받은 뒤, 서버에게 패킷을 보낸다.
- 즉, A와 B가 통신을 할 때 자신의 MAC 주소를 B의 MAC주소라 속이고 B가 받을 패킷을 자신이 먼저 받고, B 에게 그 패킷을 보내주는 방식이다.
- 특별한 이상 증상이 없기 때문에 공격당하는 것을 확인하기가 힘들다.
ARP 스푸핑의 과정
- 1. 공격자가 A에게 자신의 MAC주소를 B의 MAC 주소인것처럼 속인다.
- 2. 공격자가 B에게 자신의 MAC 주소를 A의 MAC 주소인것처럼 속인다.
- 3. A는 B의 MAC 주소가 CC(공격자)라 알고 있고, B도 A의 MAC 주소가 CC(공격자)라 알고 있다.
- 4. 공격자는 A에게 받은 메시지를 B에게 보내고, B에게 받은 메시지를 A에게 정상적으로 보내준다.
(이렇게 되면 정상적인 통신이 되며, 공격자는 메시지를 모두 읽을 수 있다.)
ARP 스푸핑을 막는 방법
- ARP 스푸핑은 각 시스템에 기록된 MAC 주소가 동적으로 유지되는 점을 이용한 공격이다.
- 따라서, MAC 주소가 정적으로 사용된다면 이러한 공격이 불가능해진다.
[관련자료]
AhnLab _ 2010.10.06 ARP Spoofing을 통해 전파되는 악성코드 차단과 해결책
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=16777
보안뉴스 _ 2017.02.20 아시아나항공 홈피 해킹 원인? DNS 공격 또는 ARP 스푸핑
https://www.boannews.com/media/view.asp?idx=53522
보안뉴스 _ 2016.04.06 호스팅사, ARP 스푸핑 공격 당해 악성코드 유포 外
https://www.boannews.com/media/view.asp?idx=50171
디지털타임스 _ ARP스푸핑 공격과 대응
http://www.dt.co.kr/contents.html?article_no=2007120602011860713002
'기타_ > 알쓸신잡' 카테고리의 다른 글
| [알쓸신잡] ENISA, KISA, KUCIS (0) | 2019.12.31 |
|---|---|
| [알쓸신잡] ARP 패킷 구조 정리_ ARP Packet Format (0) | 2019.01.25 |
| [알쓸신잡] DNS 하이재킹 공격 기법의 모든 것 (DNS Hijcaking) (0) | 2019.01.13 |
| [알쓸신잡] APT 공격 기법의 모든 것 (Advanced Persistent Threat) (0) | 2019.01.11 |
| [알쓸신잡] 무료 아이콘 사이트 주소 모음 (0) | 2018.11.11 |
댓글