ARP 프로토콜을 이전에 정리했었습니다.
이 ARP 프로토콜을 이용하는 공격기법인 ARP 스푸핑에 대한 정리입니다.
ARP 스푸핑은 단순하지만 치명적인 중간자 공격의 일종입니다.
ARP 스푸핑을 위해 우선 공격자와 피해자들은 같은 네트워크(LAN)에 있어야 합니다.
인터넷과 통신을 하려면 LAN에는 반드시 관문(기본 게이트웨이)이 필요합니다.
보통 가정집에서는 공유기가 이 역할을 합니다.
LAN에 존재하는 장비들은 이 관문의 맥 주소를 자신의 ARP 테이블에 저장해두고 있습니다.
그리고 외부와 통신을 할 때마다 이곳으로 데이터 프레임을 보냅니다.
그런데 공격자가 자신의 맥 주소를 관문의 맥 주소인 것처럼 ARP Reply 패킷을 각 장비들에게 보냅니다.
패킷을 받은 장비들은 자신의 ARP 테이블의 게이트웨이 맥 주소를 공격자의 맥 주소로 업데이트 합니다.
이제 LAN에 있는 모든 장비들은 외부와 통신할 때 패킷을 실제 관문에게 보내지않고, 공격자에게 보내게 됩니다.
장비들의 패킷을 모두 받게 된 공격자는 자신의 원하는 내용을 마음껏 살펴보고
그 패킷들을 실제 관문에게 전달합니다.
지연이 생기더라도 패킷은 결국 올바른 목적지로 가게 됐습니다.
실제로 통신은 이루어지며 장비들은 자신이 제대로 통신하고 있다고 생각합니다.
ARP Spoofing 감염 증상
ARP 스푸핑 공격에 당하고 있을 때 발생하는 증상입니다.
해당 증상들이 항상 발생하는 것은 아니고 불규칙적으로 발생합니다.
- 윈도우 업데이트 실패
- 인터넷 속도 저하
- 특정 사이트의 간헐적인 로그인 실패
- 간헐적인 특정 웹사이트 접속 실패
- 인코딩 문제로 인한 웹사이트의 한글 깨짐 현상
ARP Spoofing 방어하기
ARP 스푸핑은 컴퓨터의 문제가 아닙니다.
같은 네트워크에 존재하는 다른 공격자의 문제입니다.
따라서 내가 공격자 컴퓨터가 아닌 이상, 포맷을 해도 문제는 해결되지 않습니다.
컴퓨터에서 CMD를 열고 arp -a를 입력하면 컴퓨터의 ARP 테이블을 볼 수 있습니다.
테이블의 각 항목은 정적, 혹은 동적 유형으로 저장되어 있습니다.
동적 유형은 위에서 설명한 것 처럼 새로운 맥 주소를 가진 ARP Reply가 도착하면 맥 주소를 업데이트합니다.
하지만 정적 유형은 고정되어 있으므로 변하지 않습니다.
따라서 제대로 된 관문의 맥 주소를 정적으로 테이블에 입력해두면 ARP 스푸핑을 방어할 수 있습니다.
입력 방법은 아래 명령어 형식입니다.
arp -s 192.168.0.80 0f-28-1B-13-fa-bb