ARP 스푸핑 정리

ARP

IP주소를 MAC주소로 바꿔주는 역할

주소 해석 프로토콜

핵심

ARP 캐시 테이블 위조

같은 네트워크 안에서 이뤄지는 공격

ARP cache poisoning

도청

 

공격 과정

1. 공격자는 ARP 프로토콜을 이용해 희생자의 MAC주소와 웹서버의 MAC 주소를 알고자 동일 대역에 무차별적으로 ARP 패킷을 날린다. 
2. 희생자와 웹서버의 MAC주소를 안 공격자는 이를 자신의 ARP 테이블에 저장한다.
3. 다음으로 희생자 PC가 웹서버의 ARP 요청 프로토콜을 broadcast하여 동일 네트워크에 있는 PC들에게 물어본다.
4. 이에 웹서버는 ARP 응답 패킷을 보내 웹서버의 MAC 주소를 보낸다. 
5. 고격자는 이를 지켜보고있다가 방금 전의 패킷에 대해 다시 한 번 응답 패킷을 전송한다. -> 공격자 자신의 MAC주소를 보내 희생자 ARP 테이블에 공격자의 MAC 주소가 저장된다. 
6. 이제 웹서버도 희생자 PC의 MAC 주소를 알기 위해 ARP 요청 프로토콜을 broadcast하여 PC들에게 물어본다. 
7. 메시지를 받은 희생자 PC는 자신의 MAC 주소를 ARP 프로토콜 응답메시지로 전달한다.
8. 여기서 5번과 같이 공격자는 이를 지켜보고있다가 빠르게 자신의 MAC 주소를 웹 서버에게 전달한다.
9. 이제 웹서버의 ARP 테이블에도 공격자의 MAC주소가 저장되었다. 
10. 공격자는 둘 사이 통신을 스니핑할 수 있다.

---

https://securitymanjoseph94.tistory.com/16

arp 스푸핑 공격원리 실습 및 대응방안