Study Record

[네트워크 해킹] ARP Spoofing Attack ( ARP Cache Poisoning Attack ) 본문

네트워크 해킹

[네트워크 해킹] ARP Spoofing Attack ( ARP Cache Poisoning Attack )

초코초코초코 2021. 11. 7. 23:29
728x90

1. 개요

  • 주로 본격적인 공격을 하기 전에 패킷을 모으기 위해 사용된다.
  • ARP reply 신호를 지속적으로 보내 상대방의 arp cache 테이블에 MAC 주소를 변조시켜 패킷 감청 (패킷 스니핑)을 하기 위한 공격이다.
  • 로컬에서 통신하고 있는 서버와 클라이언트의 IP 주소에 대한 2계층 MAC 주소를 공격자의 MAC 주소로 속여 클라이언트가 서버로 가는 패킷이나 서버에서 클라이언트로 가는 패킷을 중간에서 가로채는 공격이다.

 

2. 공격 실습 - ettercap

 

공격자 : kaliLinux (192.168.20.50)

공격대상 : linux (192.168.20.200) , linux (192.168.20.100)

 

[kaliLinux]

# ettercap -G &

㉮ 아래 버튼을 눌러 시작한다.

㉯ 1번을 눌러 hostlist를 보여주고 2번을 눌러 scan을 시작한다.

㉰ spoofing을 진행할 타겟 시스템들을 선정해준다.

㉱ arp poisoning 공격을 시작한다.

㉲ 타켓 시스템으로 선정했던 시스템(192.168.20.200, 192.168.20.100) 모두 공격자(192.168.20.50)의 mac 주소로 변조된 것을 볼 수 있다.

 

 

3. 증상

  • 네트워크 부하량이 늘어난다. (ARP 맥 주소를 계속 갱신해주어야 하기 때문에 부하량이 걸린다.)
  • arp cahche 테이블에 다른 IP에 같은 MAC 주소가 있다. →# arp -a

 

4. 대응 방안

  • arp 테이블에 정적으로 MAC 주소를 설정한다. → # arp -s <IP> <MAC>
  • 보안 솔루션 제품을 사용한다. (arpwatch, ips 등)
  • 네트워크 장비를 Port Security 기능을 사용한다.
  • 스위치의 각 포트별로 허용된 MAC 주소를 지정할 수 있다.

 

+ Arp Redirect Attack

일반적으로 희생자 ARP Cache의 Gateway(Router) 주소를 공격자 MAC 주소로 변조 시켜서 외부로 나가는 데이터를 스니핑하는데 이를 특별히 ARP Redirect 공격이라 한다.

728x90