ARP 스푸핑

ARP 스푸핑이란?

근거리 통신망(LAN) 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다. 이 공격은 데이터 링크 상의 프로토콜인 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격이다.

공격 환경

• 같은 대역에 있을 경우에만 가능하다.
• 주소를 속이기 위해 공격 대상 호스트에 대한 정보 수집이 필요하다.
• 모든 패킷을 허용하는 Promiscuous Mode가 설정되어야 한다.

과정

• 공격자는 다른 호스트 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply를 망에 지속적으로 브로드캐스트한다.
• 희생자는 ARP Reply 메시지를 받고 자신의 ARP Cache Table에 있는 해당 IP의 MAC 주소를 공격자의 MAC 주소로 바꾼다.
• 희생자는 원래 다른 호스트에 전송해야 할 메시지를 공격자에게 전송하게 된다.

확인

• ARP Table을 보았을 때 다른 IP에 대한 같은 MAC 주소가 보이면 ARP 스푸핑을 의심할 수 있다.

인터페이스: 192.168.0.2 --- 0x2 인터넷 주소 물리적 주소 유형 192.168.0.1 00-36-6c-6c-2c-00 동적 192.168.0.44 01-00-00-00-00-02 동적 192.168.0.31 01-00-00-00-00-02 동적

대응

• ARP Cache Table을 정적(Static)으로 구성한다.

# arp -s [IP주소] [MAC 주소]

• SSL 방식을 적용하여 중요 정보는 암호화 통신한다.
• 포트가 수용할 수 있는 MAC 주소의 개수를 지정한다.

IP 스푸핑과의 비교

구분IP 스푸핑ARP 스푸핑

위조 대상	IP 주소	MAC 주소
공격 장비	라우터	스위치
ISO 계층	3계층	2계층
공격 범위	외부 인터넷	내부 인트라넷