ARP Spoofing

ARP

- Address Resolution Protocol의 약자로서 IP주소를 MAC주소로 변환해주는 프로토콜이다

- IP 주소와 이에 해당하는 물리적 네트워크 주소 정보는 각 IP호스트의 ARP Cache라 불리는 메모리에 테이블 형태로 저장된 후 패킷 전송시 사용된다

 

Spoofing

- 사전적인 의미로 '속이다'라는 뜻을 가지고 있다

- Spoofing 공격이란 속이는 것을 이용한 공격 기법들을 얘기한다

 

ARP Spoofing

: ARP Spoofing 공격은 로컬 네트워크(LAN)에서 사용하는 ARP의 허점을 이용하여 자신의 MAC(Media Access Control) 주소를 다른 컴퓨터의 MAC인 것처럼 속이는 공격이다 ARP Spoofing 공격은 ARP Cache 정보를 임의로 바꾼다고 하여 ‘ARP Cache Poisoning 공격’이라고도 한다

 

 

ARP Spoofing 과정1. 공격자가 A에게 자신의 MAC주소를 B의 MAC 주소인 것처럼 속인다2. 1. 공격자가 B에게 자신의 MAC주소를 A의 MAC 주소인 것처럼 속인다3. A는 공격자를 B로 알고 B는 공격자를 A로 알게된다4. A가 B에게 패킷을 보내게 되면 공격자에게로 간다

 

실습환경

 

 

ARP Spoofing 순서

1. 공격자가 A에게 자신의 MAC주소를 B의 MAC 주소인 것처럼 속인다

2. A의 ARP Cache에서 바뀐 값을 확인한다

3. ping이 어디로 보내지는지 wireshark로 확인

 

1. 공격자가 A에게 자신의 MAC주소를 B의 MAC 주소인 것처럼 속인다

 

- Kali_Linux 에서 hacker가 client A(192.168.1.4)의 ARP Cache에 있는 Client B(192.168.1.12)의 대한 MAC주소를 자신의 것으로 바꾼다

 

2. A의 ARP Cache에서 바뀐 값을 확인한다

 

- Client A의 ARP Cache 내용에서 Client B(192.168.1.12)와 hacker(192.168.1.27)의 MAC 주소가 같은걸 확인할 수 있다

 

3. ping이 어디로 보내지는지 wireshark로 확인

 

- Client A가 Client B에게 Ping을 보냈지만 제대로 동작하지 않는걸 볼 수 있다

( hacket가 받고 다시 돌려 주는걸 설정하지 않았기 때문이다 )

 

- Client A는 분명 Client B에게 Ping을 보냈지만 wireshark에는 hacker의 IP인 27으로 패킷을 날리는 것을 확인할 수 있다

 

ARP Spoofing 보안 방법

- ARP Spoofing 보안- MAC 주소가 동적으로 유지되는 점을 이용한 공격이므로 정적으로 변경하면 공격이 불가능하다

( 상대의 MAC주소가 바뀌면 직접 설정을 변경해줘야 하기 때문에 번거롭다 )