ARP (Address Resolution Protocol)
- 통신 대상 시스템에 도달하기 위한 다음 네트워크 인터페이스의 MAC 주소를 알아내기 위해 사용
- 최초 ARP Reqeust 패킷은 Broadcast로 전송하여 응답은 unicast 형태로 전달 받음
- 목적지 호스트가 응답하면 ARP 테이블 설정
ARP Cache Table
- IP 주소와 그에 해당하는 MAC 주소가 들어 있는 테이블이 저장되는 메모리 영역
ARP 동작과정
1. 수신 IP 주소를 가지고 ARP Request Broadcast
2. Gateway는 수신자 IP의 MAC 주소를 알지 못하므로 연결되어 있는 모든 네트워크에 ARP Request를 Broadcast
(ARP Cache Table에 등록되어 있지 않음)
3. 수신자가 IP를 인식하고 자신의 IP 주소와 MAC 주소를 포함시켜 ARP Reply unicast
ARP Spoofing 동작방식
1. 공격자는 공격 대상에게 ARP Reply를 지속적으로 보내 Host A의 ARP Cache Table을 오염 시킴
2. ARP Reply에닌 공격 대상이 접근 하려는 대상 Host B의 IP와 공격자의 MAC 주소를 포함하고 있음
3. Host A는 Host B에게 패킷을 전송하지만 ARP Cache Table에 등록된 공격자 MAC 주소에게 패킷이 전송됨
발생원인
- ARP는 Stateless한 프로토콜이기 때문에 Request를 보내지 않은 Host에 Reply를 전달할 수 있음
- Source에 대한 인증 메커니즘이 없기 때문에 ARP Reply 정보를 인증 없이 받아 들임
대응 방법
- Static ARP Entries
- ARP Cache Table을 정적으로 설정하며 MAC 주소가 변환되지 않도록 설정
- 리부팅 시 static 옵션이 사라지므로 배치 파일 형태로 만들어 리부팅 시 자동 설정 되도록
* 배치파일 : 사용자 입력이나 개입없이 순서대로 처리되는 명령 모음 또는 파일 리스트
결론
보안 및 네트워크 직종에 일을 한다면 ARP 명령어를 가끔씩 사용하게 된다.
스푸핑 공격은 늘 찰나의 순간에 공격을 당하고 당하지 않는다고 생각하고 의심이 생긴다면 패킷분석을 꼭 해보는 걸 추천한다.
참조
두두아이티
http://www.duduit.co.kr/
www.duduit.co.kr
https://academy.kisa.or.kr/main.kisa
academy.kisa.or.kr
'정보보안 > 모의해킹' 카테고리의 다른 글
| 루트킷 (RootKit) (0) | 2024.06.19 |
|---|---|
| [모의해킹] 백도어(Backdoor)와 백도어의 종류 (패스워드 크래킹, 루트킷 등) (0) | 2024.06.17 |
| [모의해킹] 중간자공격 (Man In The Middle Attack, MITM) (0) | 2024.06.14 |
| [모의해킹] 스푸핑(Spoofing) ICMP, DNS, DHCP (0) | 2024.06.12 |
| [모의해킹] 스캐닝 (Scanning) 및 nmap을 이용한 스캐닝 (2) | 2024.06.11 |