ARP Spoofing 공격 원리 공부 노트

ARP 스푸핑은 근거리 통신 망(LAN) 하에서 주소 결정 프로토콜 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다.(Man In The Middle attack)

이 공격은 데이터 링크 (OSI 7계층에서의 2번째 계층) 상의 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격이다.

ARP 란?

ARP는 네트워크 상에서 IP 주소를 물리적 주소 (MAC 주소)로 대응 시켜주는 프로토콜이다.

네트워크 상에서 특정 IP를 가지고 있는 호스트가 누군지 물어보면 (Request) 해당 IP를 가진 호스트가 응답 (Reply)하는 구조로 동작한다.

 

공격 방법

PC 1대와 L2 스위치가 있고 이 라우터를 지나가야 Internet으로 나간다면, pc 1번은 L2스위치를 게이트웨이로 설정했을 것이다. PC 1번이 어떤 신호를 보내면  곳곳에 ARP Request을 보내고 이게 Broadcast로 나아간다. 해당되지 않는 스위치들은 응답을 하지 않는다. 결국 지정된 L2 스위치만 pc 1번으로 ARP Request에 대한 ARP Reply를 보낸다.

 

그런데 이 PC 1번은 응답이 오면 이 응답을 의심하지 않는다.

 

그래서 해커의 PC가 1번 PC가 보낸 Request를 받아서 도감청을 해본 뒤, 라우터에게 packet을 받고 싹 뜯어고친 다음 pc 1번으로 보내는 등, 읽는 것뿐 아니라 위조 하고 변조까지 할 수 있음 또는 ssl 통신을 하려고 할 때 방해를 한다거나 온갖 못된 짓을 할 수 있음