ARP_Spoofing

ARP spoofing을 알기 전에 arp부터 짚고 넘어가자.

arp는 상대방 아이피는 알고 있으나 맥주소를 모를때, 브로드캐스트로 해당아이피를 가지고 있는 컴퓨터의 맥주소를 달라고 요청하는 패킷이다.

arp spoofing 은 이 arp패킷을 이용하여 맥주소를 속여 상대방의 패킷을 훔쳐보는 것을 말한다. 이는 2계층에서 작동하므로 같은 네트워크안에 있어야 한다.

로컬네트워크에서 MAC주소는 arp-a명령어로 확인할 수 있다.

※실습

vm 네트워크 안에서 두개의 os를 켜놓고 실습해보자. 일단 ip_scanner와 같은 툴로 네트워크 안의 활성화 되어 있는 아이피를 찾는다. 

공격자 ip : 192.168.15.128    MAC : 00:0c:29:46:ea:7c

희생자 ip : 192.168.15.129    MAC : 00:0c:29:ad:2c:cf

서버(게이트웨이) ip : 192.168.15.2 MAC : 00:50:56:e4:14:ae

send_arp <바꿀 타켓 ip > < 공격자의 MAC > <공격자 ip > <희생자 MAC>

send_arp 툴을 이용해서 서버에 공격자의 mac주소를 추가 시킨다. 위와 같이 명령어를 입력하면 다른 클라이언트에서 192.168.15.2.에 arp를 날리게 되면 서버의 mac과 공격자의 mac주소가 같이 날라가게 되고, 희생자 컴퓨터는 둘다 서버라고 믿고 두곳에 패킷을 날리게 된다.

명령어를 입력하고 wireshark로 패킷을 잡아보면 희생자컴퓨터의 패킷이 잡히는 것을 볼수가 있다.

 arp패킷을 필터링해서 보면,

arp응답으로 두개의 mac주소를 보내는 것을 알수 있다.

※대응방안

arp -a로 나오는 맥을 변하지 않게 정적으로 static옵션을 주어 설정할 수 있다. 이렇게 설정을 해 두면, mac address를 업데이트하라는 arp패킷에 업데이트 되지 않기 떄문에 보안상 중요하다고 할 수 있는데, static으로 설정하는 방법은,

arp -s < IP주소 > < MAC 주소 >

static설정이 보안상에 좋긴 하나, 만에 하나 잘못해서 설정하면 네트워크가 저멀리 날아갈지도.....바꾸기 전에 메모라도 해두는게 좋을 듯 하다.