728x90
반응형
ARP 스푸핑(ARP Spoofing) 은 로컬 네트워크(Local Area Network, LAN)에서 ARP(Address Resolution Protocol) 의 취약점을 악용하여 네트워크 트래픽을 가로채거나 변조할 수 있는 공격 기법입니다.
공격자는 자신을 다른 장치(예: 게이트웨이 또는 특정 컴퓨터)로 가장하여 피해자의 데이터를 탈취하거나 네트워크를 방해합니다.
- ARP는
IP 주소를MAC 주소로 변환하는 프로토콜입니다. - 네트워크 장치는 ARP 요청을 통해
"이 IP 주소는 누구의 MAC 주소인가?"라고 물어봅니다. - 해당 IP를 가진 장치가 응답하며, 응답은 ARP 캐시(메모리)에 저장되어 다음 요청 시 사용됩니다.
- 공격자는 잘못된 ARP 응답을 보내 자신의 MAC 주소를 피해자 또는 게이트웨이의 MAC 주소로 등록시킵니다.
- 결과적으로, 피해자의 데이터가 공격자에게 전달되며, 이를 통해 데이터 탈취, 변조, 또는 네트워크 장애를 유발할 수 있습니다.
-
MITM(Man-In-The-Middle) 공격- 공격자가 피해자와 게이트웨이 사이의 트래픽을 가로채고, 정보를 감시하거나 변조.
- 예: 로그인 자격 증명, 비밀번호 탈취.
-
DoS(Denial of Service) 공격- 공격자가 잘못된 MAC 주소를 사용해 네트워크 트래픽을 중단.
- 예: 모든 트래픽을 없는 MAC 주소로 전송하여 네트워크 마비.
-
세션 하이재킹(
Session Hijacking)- 트래픽을 가로채서 사용자의 세션 정보를 탈취해 무단 접근.
-
정적 ARP 테이블 설정
- 중요한 장치(예: 게이트웨이)의 IP와 MAC 주소를 고정으로 설정.
- 예: Linux 명령어
bash
arp -s [IP 주소] [MAC 주소]
-
ARP 감시 도구 사용
- ARP 요청/응답 패턴을 모니터링하여 의심스러운 활동 탐지.
- 도구:
arpwatch,XArp.
-
포트 보안(
Port Security)- 스위치에서 특정 MAC 주소만 포트에 접근 허용.
-
동적 ARP 검사(
DAI,Dynamic ARP Inspection)- 스위치에서 ARP 패킷의 무결성을 확인하는 보안 기능.
- VLAN 환경에서 유효.
-
VPN사용- ARP 스푸핑 공격이 불가능한 암호화된 네트워크 통신 환경을 구축.
-
SSL/TLS암호화- HTTPS와 같은 보안 프로토콜을 통해 데이터 가로채기를 무력화.
-
게이트웨이 MAC 주소 확인
- ARP 캐시를 수시로 확인해 게이트웨이의 MAC 주소가 변경되었는지 점검.
- 명령어:
arp -a
-
Windows
cmd
arp -a-> 게이트웨이 IP와 MAC 주소를 확인하여 일치 여부 점검.
-
Linux
bash
ip neigh show-> 네트워크 이웃의 ARP 정보 확인.
ARP 스푸핑은 로컬 네트워크 환경에서 큰 위협이 될 수 있지만, 정적 설정, 보안 도구 사용, 암호화 통신을 통해 예방이 가능합니다.
네트워크 모니터링을 통해 의심스러운 활동을 빠르게 탐지하는 것이 중요합니다.
728x90
반응형
'Network' 카테고리의 다른 글
| 쉘/터미널 환경 파일 다운로드 프로그램 (0) | 2025.02.25 |
|---|---|
| DAI (Dynamic ARP Inspection) : 동적 ARP 검사 (0) | 2025.01.29 |
| SCTP 멀티호밍(Multi-homing): 고가용성 네트워크 구현의 이해와 적용 (0) | 2024.12.24 |
| wget2 : 파일 다운로더 GNU wget의 후속 (0) | 2024.11.28 |
| 네트워크 최적화와 테스트를 위한 Microsoft 도구: NetMon과 NEWT 소개 (0) | 2012.10.04 |