ARP 스푸핑: Difference between revisions

From IT위키
No edit summary
No edit summary
Line 1: Line 1:
* [[로컬]]에서 통신하고 있는 [[서버]]와 [[클라이언트]]의 [[MAC 주소]]를 공격자의 [[MAC 주소]]로 속인다.
*[[로컬]]에서 통신하고 있는 [[서버]]와 [[클라이언트]]의 [[MAC 주소]]를 공격자의 [[MAC 주소]]로 속인다.
* 주로 [[스니핑]]에 이용된다.
*주로 [[스니핑]]에 이용된다.


== 공격 환경 ==
==공격 환경==
* 같은 [[대역]]에 있을 경우에만 가능하다.
* 주소를 속이기 위해 공격 대상 호스트에 대한 정보 수집이 필요하다.
* 모든 패킷을 허용하는 [[Promiscuous Mode]]가 설정되어야 한다.


== 과정 ==
*같은 [[대역]]에 있을 경우에만 가능하다.
* 공격자는 다른 [[호스트]] [[MAC  주소]]를 자신의 [[MAC 주소]]로 위조한 [[ARP]] Reply를 망에 지속적으로 브로드캐스트한다.
*주소를 속이기 위해 공격 대상 호스트에 대한 정보 수집이 필요하다.
* 희생자는 ARP Reply 메시지를 받고 자신의 ARP Cache Table에 있는 해당 IP의 [[MAC 주소]]를 공격자의 [[MAC 주소]]로 바꾼다.
*모든 패킷을 허용하는 [[Promiscuous Mode]]가 설정되어야 한다.
* 희생자는 원래 다른 호스트에 전송해야 할 메시지를 공격자에게 전송하게 된다.


== 확인 ==
==과정==
* ARP Table을 보았을 때 다른 IP에 대한 같은 MAC 주소가 보이면 ARP 스푸핑을 의심할 수 있다.  
 
<pre class='shell'>
*공격자는 다른 [[호스트]] [[MAC  주소]]를 자신의 [[MAC 주소]]로 위조한 [[ARP]] Reply를 망에 지속적으로 브로드캐스트한다.
*희생자는 ARP Reply 메시지를 받고 자신의 ARP Cache Table에 있는 해당 IP의 [[MAC 주소]]를 공격자의 [[MAC 주소]]로 바꾼다.
*희생자는 원래 다른 호스트에 전송해야 할 메시지를 공격자에게 전송하게 된다.
 
==확인==
 
*ARP Table을 보았을 때 다른 IP에 대한 같은 MAC 주소가 보이면 ARP 스푸핑을 의심할 수 있다.
<pre class="shell">
인터페이스: 192.168.0.2 --- 0x2
인터페이스: 192.168.0.2 --- 0x2
   인터넷 주소          물리적 주소          유형
   인터넷 주소          물리적 주소          유형
Line 22: Line 25:
</pre>
</pre>


== 대응 ==
==대응==
* ARP Cache Table을 정적(Static)으로 구성한다.  
 
<pre class='shell'>
*ARP Cache Table을 정적(Static)으로 구성한다.
<pre class="shell">
# arp -s [IP주소] [MAC 주소]
# arp -s [IP주소] [MAC 주소]
</pre>
</pre>
* SSL 방식을 적용하여 중요 정보는 암호화 통신한다.
* 포트가 수용할 수 있는 MAC 주소의 개수를 지정한다.


*SSL 방식을 적용하여 중요 정보는 암호화 통신한다.
*포트가 수용할 수 있는 MAC 주소의 개수를 지정한다.
== IP 스푸핑과의 비교 ==
[[틀:ARP 스푸핑과 IP 스푸핑]]
[[분류:보안]]
[[분류:보안]]
[[분류:정보보안기사]]
[[분류:정보보안기사]]

Revision as of 18:27, 5 June 2020

공격 환경

  • 같은 대역에 있을 경우에만 가능하다.
  • 주소를 속이기 위해 공격 대상 호스트에 대한 정보 수집이 필요하다.
  • 모든 패킷을 허용하는 Promiscuous Mode가 설정되어야 한다.

과정

  • 공격자는 다른 호스트 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply를 망에 지속적으로 브로드캐스트한다.
  • 희생자는 ARP Reply 메시지를 받고 자신의 ARP Cache Table에 있는 해당 IP의 MAC 주소를 공격자의 MAC 주소로 바꾼다.
  • 희생자는 원래 다른 호스트에 전송해야 할 메시지를 공격자에게 전송하게 된다.

확인

  • ARP Table을 보았을 때 다른 IP에 대한 같은 MAC 주소가 보이면 ARP 스푸핑을 의심할 수 있다.
인터페이스: 192.168.0.2 --- 0x2
  인터넷 주소           물리적 주소           유형
  192.168.0.1           00-36-6c-6c-2c-00     동적
  192.168.0.44          01-00-00-00-00-02     동적
  192.168.0.31          01-00-00-00-00-02     동적

대응

  • ARP Cache Table을 정적(Static)으로 구성한다.
# arp -s [IP주소] [MAC 주소]
  • SSL 방식을 적용하여 중요 정보는 암호화 통신한다.
  • 포트가 수용할 수 있는 MAC 주소의 개수를 지정한다.

IP 스푸핑과의 비교

틀:ARP 스푸핑과 IP 스푸핑 분류:보안 분류:정보보안기사