ARP Spoofing공격

1) 개요

- 공격자가 희생자의 MAC 주소를 자신의 MAC 주소로 위조한 ARP reply를 만들어 희생자에게 지속적으로 전송하면 희생자 ARP cache Table의 MAC 정보가 공격자의 MAC정보로 지속적으로 변경된다. 이를 통해서 희생자간의 송수신 패킷을 공격자가 스니핑하는 기법이다.

 

- MAC 주소를 속이는 공격으로 로컬에서 통신 하고 있는 서버와 클라이언트의 IP 주소에 대한 2계층 MAC 주소를 공격자의 MAC 주소로 속임으로써 클라이언트에서 서버로 가는 패킷의 흐름을 왜곡시킨다.

 

2) 실습

- 공격 전 : ARP cache 정보를 보면, 희생자PC(B)의 MAC 주소가 정상적으로 설정되어 있음을 확인할 수 있다.

- 공격 후 : ARP cache 정보를 보면, 희생자(B)의 MAC주소가 공격자(C)의 MAC 주소와 동일하게 설정되어 있음을 확인 가능하다. 즉 공격자에 의해 조작된 arp reply 패킷에 의해 cache 정보가 변조되었음을 알 수 있다.

- 희생자(A) 에서 패킷 결과를 보면, 공격자에 의해 주기적으로 arp reply 패킷이 발생하고 있으며 arp 프로토콜의 sender MAC과 IP를 보면 희생자(B)의 MAC 주소가 공격자의 MAC주소로 조작되어 있다.

- 희생자(B)의 ARP cache 정보를 보면 희생자(A)와 동일하게 공격자(C)에 의해 cache 정보가 변조되었음을 확인할 수 있다.

 

3) 대응방법

- ARP 캐시를 정적으로 설정하여 ARP 응답을 수신해도 캐시 정보를 갱신하지 않도록 한다.