ARP Spoofing

I. 스위칭 환경의 LAN에서 패킷 흐름 변경 통한 공격, ARP Spoofing의 개요

가. ARP Spoofing의 정의

   - LAN 카드의 고유한 주소인 MAC Address를 동일 네트워크에 존재하는 다른 PC의 LAN 카드 주소로 위장, 다른 PC에 전달되어야 하는 정보를 가로채는 MITM 공격방식

나. ARP Spoofing의 특징

   - ARP 취약점 이용, MAC 주소를 이용한 공격, 내부에서 공격

---

II. ARP Spoofing의 공격 매커니즘

항목	공격과정	공격 후 패킷 흐름
개념도
설명	- ARP Request Broadcasting을 이용 이더넷상의 모든 호스트의 IP/MAC 주소 매핑 확인 - 각 호스트들에게 위조한 MAC 주소를 전송, 각 호스트의 ARP Cache 정보를 업데이트 - 스위치에는 공격자의 MAC 주소와 포트 매핑정보가 등록 - 공격자는 cache가 사라지기 전에 ARP Reply를 지속적으로 전송하여 정보를 유지시킴	- 통신 중인 두 호스트는 상대방의 MAC 주소를 공격자의 MAC 주소로 인식하여 정보 전달 - 공격자는 각 호스트들에게 정보를 재전송하거나 모든 패킷을 캡처 할 수 있음 - 악성코드 감염을 위한 공격 방식으로 오래 전부터 사용되어 오던 해킹 기법
증상	- ARP Table을 지속적으로 속이기 위해 ARP 패킷이 발송됨 - ARP Reply 패킷에 의한 ARP 패킷 수신량의 증가로 네트워크 응답 지연

---

III.  ARP Spoofing의 공격탐지 및 대응방안

가. ARP Spoofing의 공격탐지

   - ARP Table조회를 통한 MAC 주소 중복 확인, 송신패킷에서 악성코드 유무 검사, 비정상 ARP 패킷수신 확인, ARP Table 감시도구 활용, ARP Spoofing 실행 프로그램 확인, 네트워크 어댑터의 동작상태 확인, ARP 패킷 관찰

나. ARP Spoofing의 대응방안

   - 인증요소 추가, 보안수준 강화, Static ARP 관리, MAC Flooding 관리, 패킷 모니터링, 암호화