ARP (Address Resolution Protocol)

1. ARP란?

📌 ARP (Address Resolution Protocol)

OSI 2계층 (데이터 링크 계층)에서 동작
IP 주소 → MAC 주소를 매핑해주는 프로토콜
LAN 내에서 통신할 때 목적지 MAC 주소를 알아내기 위해 사용

📌 작동 방식

Host A: “192.168.0.5의 MAC 주소가 뭐야?” (ARP Request)
Host B: “나야, 내 MAC은 xx:xx:xx:xx:xx:xx야” (ARP Reply)
Host A는 이 응답을 ARP 테이블에 저장하여 이후에는 요청 없이 사용

2. ARP 스푸핑이란?

📌 정의

ARP 스푸핑(ARP Spoofing)은 공격자가 허위 ARP Reply를 보내서,
피해자의 ARP 테이블에 잘못된 MAC 주소를 등록시키는 공격입니다.

결과적으로, 트래픽을 가로채거나 변조, 차단할 수 있게 됩니다.

3. 공격 원리

💥 공격 흐름 예시

환경

Victim: 192.168.0.10
Gateway: 192.168.0.1
Attacker: 192.168.0.50

📍 1단계: ARP Reply 위조

Attacker → Victim:
“나는 192.168.0.1 (게이트웨이)야. MAC은 XX:XX:XX:XX:XX:XX야”

Attacker → Gateway:
“나는 192.168.0.10 (Victim)야. MAC은 XX:XX:XX:XX:XX:XX야”

Victim과 Gateway의 ARP 테이블이 공격자의 MAC으로 덮어쓰기됨.

📍 2단계: 트래픽 하이재킹 (MITM)

이제 Victim의 모든 트래픽은 공격자 → 게이트웨이로 우회됨
공격자는 트래픽을 보기, 수정, 저장할 수 있음
이후 게이트웨이로 전달되므로 피해자는 눈치채기 어려움

4. ARP 스푸핑 영향

영향 범위	설명
✅ 정보 유출	로그인 정보, 쿠키, 개인정보 등 가로채기
❌ 세션 탈취	세션 하이재킹 (ex: 웹 로그인 유지된 상태 탈취)
⚠️ 트래픽 변조	패킷 내용을 위조하거나 중간에서 조작
⛔ 서비스 거부	목적지로 트래픽 전달하지 않아 통신 차단 가능 (DoS)

5. ARP 스푸핑 탐지 방법

📌 수동 탐지

ARP 테이블 확인:

arp -a

→ 동일한 MAC 주소가 여러 IP에 등록되어 있으면 의심

패킷 스니핑 도구 사용:
- Wireshark, tcpdump 등으로 ARP 패킷 모니터링

📌 도구 기반 탐지

XArp, ARPWatch, Ettercap (공격자도 사용)
보안 솔루션에서 의심되는 ARP 패킷 탐지

6. 방어 및 대응 방법

✅ 1. 정적 ARP 테이블 설정 (중소 네트워크에 적합)

# Windows 예시
arp -s 192.168.0.1 00-11-22-33-44-55

# Linux 예시
ip neigh add 192.168.0.1 lladdr 00:11:22:33:44:55 dev eth0

→ 수동으로 지정한 MAC 주소만 신뢰

✅ 2. 동적 ARP 방어 시스템 도입

보안 기능	설명
Dynamic ARP Inspection (DAI)	스위치에서 ARP 패킷의 MAC/IP 일치 여부 확인 (Cisco 스위치)
Port Security	허용된 MAC 주소 외에는 포트 차단
DHCP Snooping 연계	신뢰된 포트에서만 DHCP 응답 허용 → ARP 검증에 활용

✅ 3. 암호화 사용

HTTPS, SSH 등 암호화된 프로토콜 사용 → 중간자 공격시에도 안전성 향상

7. 요약 정리

항목	내용
동작 계층	OSI 2계층 (데이터 링크 계층)
공격 방식	허위 ARP 응답으로 MAC 주소 위조
주요 목적	중간자 공격, 정보 탈취, 서비스 방해
탐지 방법	ARP 테이블 확인, 스니핑 도구 사용
방어 방법	정적 ARP, DAI, Port Security, 암호화 사용 등

💡 보너스: 실습 예시 (공격 도구)

도구	설명
Ettercap	GUI 기반 MITM 도구
arpspoof	CLI 기반 ARP 스푸핑 도구 (Kali Linux 포함)
Bettercap	강력한 MITM 프레임워크

⚠️ 실습은 반드시 허가된 테스트 환경에서만 사용하세요. 실제 네트워크에서 사용 시 불법입니다.

zerg96

Next 메모리 해킹기법 방어(버퍼 오버플로우) »

Previous « VLAN (Virtual LAN)

Leave a Comment

Share

Published by

zerg96

Tags: ARPARP 스푸핑네트워크관리사정보보안기사

2개월 ago

Recent Posts

인공지능 및 빅데이터

MCP(Model Context Protocol)

오늘은 AI 생태계에 혁신적인 변화를 가져올 것으로 예상되는 MCP(Model Context Protocol)에 대해 상세히 알아보겠습니다. 2024년…

1주 ago

보안

TPM(Trusted Platform Module)

1. TPM이란? TPM(Trusted Platform Module)은 국제 표준 기반의 보안 하드웨어 칩으로, 컴퓨터나 디지털 장비 내에서…

1주 ago

보안

BitLocker

BitLocker는 Microsoft Windows 운영 체제에 내장된 디스크 전체 암호화(Full Disk Encryption) 기능입니다. 기업 환경뿐만 아니라…

1주 ago

재테크

《데블스 플랜 시즌2》: 게임인가, 연애인가? 소희 이렇게까지..?

시즌2, 기대했는데... 실망도 두 배!두뇌싸움을 기대했는데, 전략도 없는 자기들만의 감정에 따른 편가르기, 정치싸움이 되어 버린…

2주 ago

보안

BPF도어(BPFdoor)

BPF(Berkeley Packet Filter) 도어는 해커가 관리자 몰래 뒷문을 새로 만든 것입니다.해커가 명령을 내려 특정 데이터들을 뒷문을…

2주 ago

정보관리기술사

IPC (Inter-Process Communication)

1. IPC의 개념과 목적 1.1 IPC란 무엇인가? IPC (Inter-Process Communication)는 운영체제 내의 서로 독립적인 프로세스…

2주 ago

L