[Network] ARP spoofing 개념 정리

ARP Spoofing?

로컬 네트워크(LAN) 상에서 사용자와 게이트웨이 통신 간에 ARP 테이블의 cache 정보를 속이고 끼어들어 도청하는 것이다. 일반적으로 외부와 통신하게 되면 ARP 테이블에 IP주소와 MAC 주소 값이 저장된다. 그럼 공격자는 이를 이용해 저장되어 정보를 IP는 남겨두고 MAC 주소를 공격자 자신의 AMC 주소로 바꾼다. 공격자는 중간에서 자신의 주소로 바꿔 통신 정보를 전송하며 통신 내용들을 몰래 볼 수 있게 된다. 이가 바로 중간자 공격이다. 이때, 공격자가 원래의 목적지로 정보를 보낼 수 있는데 일부 패킷을 변조해 목적지 PC를 좀비 PC로 만들기도 한다.

 

 

서버 내에서의 공격

  > 공격자가 취약한 서버를 찾아 공격에 성공하면 서버에 악성코드를 삽입해 접속하는 모든 이용자들이 공격대상이 된다

 

클라이언트에 공격

  > 피해 범위가 해당 PC로 로컬 네트워크로 한정된다

 

  > 상대적으로 보안에 취약한 한 대의 클라이언트 사용자 PC를 해킹하는 것으로 발생 빈도가 높다

 

  > 사용자 PC가 감염된 후 로컬 네트워크 내의 타 취약 PC들이 추가로 감염되어 네트워크 장애가 발생할 수도 있다

 

 

공격 방법

원래대로라면 아래 그림처럼 호스트 A와 호스트 B는 정상적으로 통신이 되어야 한다. ARP Cache에 서로의 IP와 MAC이 있고 스위치 라우터 테이블에도 통신하는 두 호스트의 MAC 주소만 있어야 한다.

 

정상적인 통신

 

하지만 ARP 프로토콜은 별다른 인증을 요구하지 않기 때문에 중간에서 공격자가 ARP Cache를 업데이트하기 쉽다. 만약 호스트 A와 B가 통신을 할 때 아래 그림처럼 공격자가 중간에서 가로채 목적지와 출발지 MAC 주소를 자신의 MAC 주소로 바꾼다. 그러면 호스트 A는 공격자 MAC 주소를 호스트 B의 MAC 주소로 호스트 B는 공격자의 MAC 주소를 호스트 A의 MAC 주소로 인식하게 된다. 그래서 통신은 정상적으로 이루어지지만 모든 통신이 공격자를 거쳐 가기 때문에 공격자는 통신 내용을 모두 보거나 재전송할 수 있게 된다.

 

ARP Spoofing  공격

 

< 참고 >
https://m.blog.naver.com/PostView.nhn?blogId=novajini&logNo=220151617774&proxyReferer=https:%2F%2Fwww.google.com%2F