ARP spoofing 공격에 대해 (ARP 스푸핑 공격).

ARP spoofing이란?

로컬 네트워크에서 사용하는 ARP Protocol의 허점을 이용하여 자신의 MAC 주소를 다른 컴퓨터의 MAC인 것처럼 속이는 공격 기법입니다.

ARP Cache 정보를 임의로 바꾼다고 하여 ARP Cache Poisoning 공격이라고도 합니다.

공격 유형

1. 서버 존 내에서 ARP Spoofing 공격 유형 :

공격자가 취약한 서버를 찾아 공격에 성공하게 되면, 서버에 악성코드가 삽입이 되어지고, 서버에 접속하는 모든 이용자 들이 공격대상이 될 수 있어 위험성이 높습니다.

 

2. 클라이언트 지역에서의 ARP Spoofing 공격 유형 :

피해 범위가 해당 PC가 존재하는 로컬 네트워크로 한정됩니다.

상대적으로 보안에 취약한 한대의 클라이언트 사용자 PC를 해킹하는 것으로도 가능해 지므로 발생빈도가 높습니다.

사용자 PC 가 감염된 후, 로컬 네트워크 내의 타 취약 PC들이 추가로 감염되는 유형으로 네트워크 장애가 발생할 수 있습니다.

공격 기법

①   공격자는 ARP Request broadcasting을 이용하여 이더넷상의 모든 호스트의 IP/MAC 주소 mapping을 확인합니다.

②   공격자는 각 호스트들에게 위조한 MAC 주소(상대방의 MAC 주소 = 공격자의 MAC 주소)를 보내 각 호스트의ARP Cache 정보를 업데이트 시킵니다.

③   스위치에서는 공격자의 MAC 주소와 포트 mapping 정보가 테이블에 등록됩니다.

④   공격자는 Cache가 사라지기 전에 변조된 ARP Reply를 지속적으로 보내므로 각 호스트들의 ARP Cache의 변조된 MAC 주소의 정보는 계속적으로 유지됩니다.

⑤   이때 공격자는 두 방향으로 정확히 재전송해 줄 수 있는 기능이 있어야만 TECH와 OULLIM은 통신을 할 수 있습니다.

 

⑥    공격에 성공하면 두 호스트는 서로 서버의 MAC 주소를 공격자의 MAC 주소로 인식하고 있기 때문에 모든 트래픽은 공격자에게 전달이 됩니다.

⑦    공격자는 이 두 호스트에게 재전송할 수 있는 기능이 있으며, 또한 모든 패킷들을 캡쳐할 수 있게 됩니다.

기타 잡 - LAN통신망에서 MAC 획득 방법

네트웍이 커짐에 따라 이에 여러 종류의 프로토콜이 사용된다. 이들 프로토콜은 각기 고유의 데이터링크(Layer 2) 계층을 가지고 있다. 

 

• Hello Protocol
  네트웍 상에 있는 디바이스들은 이 프로토콜을 이용, 서로간에 자기 존재를 알리고 확인하며 상대의 MAC 어드레스를 보관한다.
  어느 한 호스트가 특정 목적지에 데이터를 보내고자 할 때 만약 그 디바이스로부터 Hello 패킷을 받지 않았다면, 그 목적지에 도달하기 위해서는 반드시 라우터를 경유해야 한다고 판단하여 프레임을 라우터로 보낸다.

 

• Predictable MAC Address(예측가능한 MAC 주소)
  네트웤 계층에서 MAC 어드레스를 네트웍 어드레스에 포함시키거나, 그 어드레스를 연관시키기 위한 특정 알고리즘을 사용한다.

 

• WAN 사용시
  Point-to-Point WAN 환경에서는 데이터 링크 어드레스가 요구되지 않는다. 멀티 액세스 WAN 환경에서 Originating Device는 반드시 목적지의 데이터링크 Address를 명시하여야 한다.

 

 만약 ARP가 궁금하시다면? - 2018/11/27 - [IT 이야기/Network ] - ARP(Address Resolution Protocol)란? - 개념과 동작원리