ARP Spoofing 공격 (ARP Cache Poisoning)

ARP 스푸핑 공격을 설명하기 앞서 ARP란 무엇일까?

확실하게 기억이 안난다면 아래 글을 잠깐 보고오자

ARP 프로토콜 (tistory.com)

 

ARP 스푸핑 공격

• 공격자는 희생자의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply를 만들어 희생자에 지속적으로 전송하면 희생자 ARP Cache Table의 MAC 주소가 공격자의 MAC 정보로 지속적으로 변경된다. 이를 통해서 희생자간의 송수신 패킷을 공격자가 스니핑하는 기법이다.
• 공격자는 희생자간에 정상적인 통신이 이루어질 수 있도록 IP Forward 기능을 활성화한다.
• 일반적으로 희생자 ARP Cache의 Gateway(Router) 주소를 공격자 MAC 주소로 변조시켜 외부로 나가는 데이터를 스니핑하는데 이를 특별히 ARP Redirect 공격이라 한다.
• ARP 스푸핑은 2계층 주소인 MAC 주소를 속여서 트래픽을 스니핑 하는 것으로 2계층에서 동작한다. 2계층 주소는 서로 다른 네트워크로 라우팅 되지 않기 때문에 공격대상도 동일 네트워크 대역에 있어야 한다.

 

ARP 스푸핑 공격에 대한 대응 방법

• ARP 요청 및 응답 과정에서 별도의 인증과정이 없는 ARP 프로토콜 자체의 취약점을 이용한 공격이기 때문에 완전한 방어는 없다. 일반적인 대응 방법은 ARP 캐시를 정적(Static)으로 설정하여 ARP Reply를 수신해도 캐시 정보를 갱신하지 않도록 한다.
• 캐시정보는 시스템 종료시 삭제되므로 시스템 가동시마다 ARP 캐시를 정적으로 구성해주어야한다.
• 네트워크 상 ARP 트래픽을 실시간으로 모니터링하는 프로그램(ARPWatch 등)을 이용해 IP와 MAC 주소 매핑을 감시하고 변경 발생 시 즉시 확인하도록 한다.