ARP 스푸핑(Spoofing) 에 대해 알아보겠습니다.
Ⅰ. ARP 프로토콜이란?
ARP (Address Resolution Protocol)는 IP 주소를 물리적 MAC 주소로 변환하는 역할을 하는 프로토콜입니다. 로컬 네트워크에서 컴퓨터가 서로 통신할 때, IP 주소를 사용하여 네트워크 상의 위치를 지정하지만, 실제로는 MAC 주소를 사용하여 물리적 네트워크 인터페이스를 찾아 데이터를 전달합니다.
Ⅱ. ARP의 동작 원리
ⅰ) ARP 요청 (ARP Request): 한 컴퓨터가 특정 IP 주소를 가진 컴퓨터와 통신하려고 할 때, 해당 IP 주소의 MAC 주소를 모른다면, ARP 요청 패킷을 네트워크에 브로드캐스트합니다. 이 요청 패킷에는 발신자의 IP 및 MAC 주소와 요청하는 IP 주소가 포함됩니다.
ⅱ) ARP 응답 (ARP Reply): ARP 요청을 수신한 컴퓨터 중 요청된 IP 주소를 가진 컴퓨터는 자신의 MAC 주소를 포함한 ARP 응답 패킷을 보냅니다. 이 패킷은 요청한 컴퓨터에게만 전달됩니다.
ⅲ) ARP 캐시 (ARP Cache): 요청한 컴퓨터는 받은 MAC 주소를 ARP 캐시에 저장하여, 이후 같은 IP 주소로의 통신이 더 빠르게 이루어질 수 있도록 합니다.
Ⅲ. ARP 스푸핑이란?
ARP 스푸핑(ARP spoofing)은 네트워크 공격의 한 형태로, ARP(Address Resolution Protocol) 프로토콜을 이용하여 공격자가 다른 컴퓨터의 네트워크 연결을 끊거나 중간에서 데이터를 가로채는 공격입니다. ARP는 IP 주소를 물리적 MAC 주소로 매핑해주는 프로토콜로, 컴퓨터가 네트워크 상에서 특정 IP 주소를 찾을 때 사용됩니다. 공격자가 네트워크 상에서 다른 컴퓨터의 IP 주소와 MAC 주소 간의 매핑을 변경하여 공격자의 MAC 주소를 특정 IP 주소와 연결시키는 것을 포함합니다. 이로써 공격자는 중간에서 데이터를 가로채거나 수정할 수 있고, 공격 대상의 네트워크 연결을 끊어서 서비스 거부 공격(DoS, Denial of Service)을 수행할 수도 있습니다.
정리하면, 악의적인 행위자가 네트워크의 ARP 테이블을 변조하여 트래픽을 가로채거나 수정하는 공격입니다. 공격자는 자신을 다른 장치(예: 게이트웨이)로 위장하여 트래픽을 자신을 통해 전송하도록 유도합니다.
Ⅳ. ARP 스푸핑 공격 목적
ⅰ) 트래픽 가로채기 (Man-in-the-Middle, MITM): 두 장치 간의 통신을 가로채어 데이터 패킷을 읽거나 수정할 수 있습니다.
ⅱ) 서비스 거부 공격 (DoS): 특정 장치의 트래픽을 가로채거나 방해하여 해당 장치가 네트워크에 접근하지 못하게 합니다.
ⅲ) 정보 탈취: 민감한 정보를 훔치기 위해 트래픽을 분석합니다.
Ⅴ. ARP 스푸핑 공격 특징
ⅰ) 로컬 네트워크 내에서 발생: ARP 스푸핑은 동일한 로컬 네트워크 내에서만 작동합니다.
ⅱ) 실시간 공격: 네트워크 트래픽을 실시간으로 가로채거나 수정할 수 있습니다.
ⅲ) 비교적 단순한 도구와 기술로도 공격을 수행할 수 있습니다.
Ⅵ. ARP 스푸핑 공격 원리
ⅰ) 위장된 ARP 응답: 공격자는 네트워크의 특정 IP 주소에 대한 잘못된 MAC 주소 정보를 담은 ARP 응답을 지속적으로 보냅니다.
ⅱ) ARP 테이블 변조: 네트워크 장치들이 이 위장된 ARP 응답을 받아들이면, ARP 테이블이 변조되어 공격자의 MAC 주소를 사용하게 됩니다.
ⅲ) 트래픽 중계: 변조된 ARP 테이블로 인해 모든 트래픽이 공격자를 거쳐가게 되고, 공격자는 이를 분석하거나 수정할 수 있습니다.
Ⅶ. ARP 스푸핑 공격 대응 방법
ⅰ) 정적 ARP 테이블 설정: 중요 장치의 IP-MAC 매핑을 정적으로 설정하여 ARP 요청/응답을 필요로 하지 않게 합니다.
arp -s [IP주소] [MAC]주소 |
ⅱ) ARP 감시 도구 사용: ARP Watch 와 같은 ARP 트래픽을 모니터링하고 비정상적인 활동을 탐지하는 도구를 사용합니다
ⅲ) 동적 ARP 검사 (Dynamic ARP Inspection, DAI): 네트워크 스위치에서 제공하는 기능으로, ARP 패킷을 검사하고 유효성을 확인합니다.
ⅲ) 네트워크 세그먼테이션: 중요한 네트워크를 분리하여 공격자가 쉽게 접근하지 못하도록 합니다.
ⅳ) 암호화: 트래픽을 암호화하여 중간에서 가로채더라도 내용을 이해할 수 없게 만듭니다. 예: HTTPS, VPN.
ⅴ) 포트 보안: 네트워크 스위치의 포트 보안 기능을 활용하여 특정 MAC 주소만 허용되도록 설정합니다.
ⅵ) OS 및 네트워크 장치 업데이트: 최신 보안 패치를 적용하여 취약점을 줄입니다.