ARP 스푸핑에 대해서 / ARP 스푸핑 예방

ARP Spoofing이란?

ARP 스푸핑이란 공격자가 LAN을 통하여 거짓된 ARP 메시지를 보내는 공격입니다. 공격자의 MAC 주소가 네트워크에 있는 인증된 IP 주소에 연결되면 공격자는 해당 IP 주소를 대상으로 하는 모든 데이터를 수신하여 전송 중인 데이터를 가로채고 수정하거나 중단할 수 있게 만듭니다. ARP가 같은 IP주소를 가지는 네트워크에서 작동하므로 ARP 스푸핑도 같은 로컬 네트워크에서만 작동합니다. 또한 로컬 내의 어떤 한 시스템에 악성코드가 설치되면 동일 구역 안에 있는 모든 시스템에 악성 코드가 설치됩니다.

 

ARP spoofing 사이버 공격

 

ARP (Address Resolution Protocol)란 ?

ARP(Address Resolution Protocol)는 컴퓨터 네트워킹의 초기부터 사용된 계층화된 접근 방식을 지원합니다. 이더넷 케이블을 통해 이동하는 전기 신호에서부터 웹페이지를 렌더링 하는 데 사용되는 HTML 코드에 이르기까지 각 계층의 기능은 서로 독립적으로 작용합니다. 이는 Wifi 및 Bluetooth와 같은 최신 기술과 함께 1980년대 초반의 네트워크 계층 기술인 IPv4를 사용할 수 있는 방법입니다. 물리 및 데이터링크 계층은 전파와 같은 특정 매체를 통하여 데이터를 전송하는 세부 사항을 처리합니다. ARP의 목적은 MAC 주소라고 하는 데이터 링크 계층의 주소와 일반적으로 IP주소인 네트워크 계층의 주소 사이를 변환하는 것입니다.

 

공격 유형

• 서비스 거부 공격 : DoS 공격은 ARP 스푸핑을 활용하여 여러 IP 주소를 단일 대상의 MAC 주소와 연결합니다. 결과적으로 다양한 IP 주소를 대상으로 하는 트래픽이 대상의 MAC 주소로 리디렉션 되어 대상에 트래픽이 과부하되고, 전체 네트워크의 성능에 영향을 미칠 수 있습니다.
• 세션 하이재킹 : 세션 하이재킹 공격은 ARP 스푸핑을 사용하여 세션 ID를 훔쳐 공격자에게 개인 시스템 및 데이터에 대한 액세스 권한을 부여할 수 있습니다. 공격자는 피해자로부터 진짜 TCP 시퀀스 번호 또는 웹 쿠키를 캡처하여 피해자의 신원을 추정하는 데에 사용합니다. 대상 사용자가 로그인 한 경우 해당 사용자의 소셜 미디어 계정에 액세스 하는데 사용할 수 있습니다.
• Man-in-the-middle 공격 : MITM 공격은 가장 흔하고 위험한 공격입니다. 특정 서브넷의 기본 게이트웨이인 지정된 IP주소에 대해 위조된 ARP 응답을 보내면 피해자 컴퓨터는 로컬 라우터의 MAC 주소 대신 공격자 컴퓨터의 MAC 주소로 ARP 캐시를 채웁니다. 그렇게 되면 피해자 컴퓨터가 네트워크 트래픽을 잘못 전달합니다. Ettercap과 같은 도구를 사용하면 공격자가 원하는 대상으로 트래픽을 보내기 전에 정보를 보거나 수정하여 프락시 역할을 할 수 있습니다.  

 

ARP 스푸핑 탐지, 예방 및 보호

• 패킷 필터링 : 패킷 필터는 네트워크를 통해 전송되는 패킷을 검사합니다. 패킷 필터는 소스 주소 정보가 충돌하는 패킷을 필터링하고 차단할 수 있기 때문에 ARP 스푸핑 방지에 유용합니다. (네트워크 내부의 소스 주소를 표시하는 네트워크 외부의 패킷 및 그 반대의 경우)
• 신뢰 관계 방지 : 조직은 가능한 한 신뢰 관계에 의존하는 프로토콜을 개발해야 합니다. 신뢰 관계는 인증을 위해 IP 주소에만 의존하므로 공격자가 ARP 스푸핑 공격이 있을 때 훨씬 쉽게 실행할 수 있습니다.
• ARP 스푸핑 탐지 소프트웨어 사용 : 조직에서 ARP 스푸핑 공격을 탐지하는 데 도움이 되는 많은 프로그램이 있습니다. 이러한 프로그램은 데이터가 전송되기 전에 검사 및 인증하고 스푸핑 된 것처럼 보이는 데이터를 차단하는 방식으로 작동합니다.
• 암호화 네트워크 프로토콜 사용 : TLS (Transport Layer Security), SSH (Secure Shell), HTTPS (HTTP Secure) 및 기타 보안 통신 프로토콜은 데이터를 전송하기 전에 암호화하고 수신 시 데이터를 인증하여 ARP 스푸핑 공격 방지를 강화합니다.