ARP 와 RARP 에 대해 알아보겠습니다.

Ⅰ. ARP(Address Resolution Protocol) 정의
 : OSI 7 Layer에서 Layer 3에 위치한 프로토콜이며, MAC 주소와 IP 주소를 서로 연결하는 용도로 사용한다.

 

Ⅱ. ARP(Address Resolution Protocol) 역할
 ARP는 IP 주소를 기반으로 MAC 주소를 알아오는 역할을 합니다. Wireshark를 이용하여 패킷을 확인해보면 출발지 주소가 자기 랜카드의 MAC 주소, 도착지 주소는 브로드캐스트(ff:ff:ff:ff:ff:ff)입니다. LAN 환경에서는 MAC 주소를 기반으로 통신하기 때문입니다.

 192.168.55.0/24 환경에서 자신의 IP는 192.168.55.13 이고, 192.168.55.92 의 IP 주소를 가진 PC의 MAC 주소를 알려고 할 때 브로드캐스트를 하여 얻어온 ARP 정보는 ARP 테이블에 올라가게 됩니다.

 

Windows 환경에서는 명령 프롬프트(CMD)에 arp -a 명령어를 입력하면 확인할 수 있습니다.

2) Broadcast 이후 새로운 IP 확인

 - ARP 테이블은 캐시와 같은 개념이라 일정 시간이 지나면 사라집니다.

 - ARP를 초기화 할 수 있는데, 명령 프롬프트에서 arp -d를 입력 or 랜 케이블을 분리했다 다시 연결해 주면 ARP 테이블이 초기화됩니다.

- 송신자는 목적지 물리주소가 필요하므로, 물리주소 요청을 위한 ARP요청 패킷을 브로드캐스트로 전송을 합니다.

 

Ⅲ. RARP( Reverse Address Resolution Protocol) 은 IP호스트가 자신의 물리 네트워크 주소(MAC)는 알지만 IP주소를 모르는 경우, 서버로부터 IP주소를 요청하기 위해 사용됩니다.

 

Ⅳ. ARP(Address Resolution Protocol) 동작 순서

 1) 출발지에서 목적지의 물리주소를 몰라 모두(브로드캐스트)에게 요청

 2) 요청 패킷에는 수신자가 수신자 주소를 응답할 때 필요한 송신자 주소가 포함

 3) 모든 호스트와 라우터는 송신자가 보낸 ARP 요청 패킷을 수신

 4) 해당되는 수신자만 자신의 논리주소와 물리주소를 넣어 응답 패킷을 유니캐스트로 전송

 

 

Ⅴ. ARP(Address Resolution Protocol) Spoofing 이란 ?

 1) 공격 방법

  - 같은 네트워크 대역에 있을 경우에만 가능합니다.

  - 주소를 속이기 위해 공격 대상 호스트에 대한 정보 수집이 필요합니다.

  - 공격자의 PC에서는 모든 패킷을 허용하는 Promiscuous Mode가 설정되어야 합니다.

 

 2) 공격 과정

  - 공격자는 다른 호스트 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply를 망에 지속적으로 브로드캐스트합니다.

  - ARP 테이블은 캐시와 같은 개념이라 위조한 MAC 주소를 지속적으로 날리게 되면 희생자는 ARP Reply 메시지를 받고 자신의 ARP Cache Table에 있는 해당 IP의 MAC 주소를 공격자의 MAC 주소로 바뀌게 됩니다.

 - ARP Table을 보았을 때 다른 IP에 대한 같은 MAC 주소가 생깁니다.

 - 희생자는 원래 다른 호스트에 전송해야 할 데이터 및 메시지를 공격자에게 전송하게 된다.

 

3) 대응 방법 

 - ARP Cache Table을 정적(Static)으로 구성하면 됩니다.

cmd 화면에서 arp -s [IP주소] [MAC주소] 명령어를 넣습니다

Ⅵ. IP Spoofing 이란 ?

1)  정의

    : 다른 호스트인 것처럼 가장하여 가짜 IP 패킷을 만들어 이용하는 공격방법 

2) 공격 방법

  ∇ DoS ( Denial Of Service) 

      : 공격 대상 호스트를 출발지 주소로 설정하여 불특정 다수의 호스트에게 응답을 요청합니다.

        공격 대상 호스트는 일시에, 또는 지속적으로 불필요한 대량의 응답을 받아 대역폭이 소진됩니다.

  ∇ 스니핑 (Sniffing)

      : 정상적인 호스트 간 통신의 패킷을 가로채어 출발지 주소를 공격자의 주소로 변경하여 보냅니다.

         응답이 공격자의 주소로 전달되어 데이터 및 메시지 내용을 볼 수 있습니다.

  ∇스팸 메일 방송( Spam Mail)

       : 스팸 메일 발송 시 메일 송진지를 신뢰하는 IP 주소로 변경하여 보냅니다.

        방화벽이나 스팸필터를 우회 할 수 있습니다.
3) 대응방법 

  ∇ 소스 라우팅 불허

    : 외부에서 들어온 패킷 중 출발지 IP가 내부망 IP인 패킷을 필터링

      내부에서 발생하는 아이피 스푸핑 공격에는 취약

 ∇ 무작위 순서 번호 사용

    - 일정하게 증가하는 순서번호는 예측가능하며 스푸핑이 쉬우므로 무작위 순서 번호를 사용합니다.

    - 단, 스니핑이 가능한 환경에서는 무작위 순서번호 또한 가로채어질 수 있음

 ∇ IP 기반 인증 자제

    - 아이피로 인증하는 서비스들은 가능하면 사용하지 않도록 한다.

 ∇ 보안 프로토콜 사용

    - IPSec 등 암호화, 인증 기능이 내재된 프로토콜 사용

 

Ⅶ. ARP Spoofing vs IP Spoofing

구분	IP 스푸핑	ARP 스푸핑
변경 대상	IP 주소	MAC 주소
공격 대상	라우터	스위치
네트워크 계층	3계층	2계층
공격 범위	외부 인터넷	내부 인트라넷