ARP (Address Resolution Protocol)

1. ARP란?

📌 ARP (Address Resolution Protocol)

OSI 2계층 (데이터 링크 계층)에서 동작
IP 주소 → MAC 주소를 매핑해주는 프로토콜
LAN 내에서 통신할 때 목적지 MAC 주소를 알아내기 위해 사용

📌 작동 방식

Host A: “192.168.0.5의 MAC 주소가 뭐야?” (ARP Request)
Host B: “나야, 내 MAC은 xx:xx:xx:xx:xx:xx야” (ARP Reply)
Host A는 이 응답을 ARP 테이블에 저장하여 이후에는 요청 없이 사용

2. ARP 스푸핑이란?

📌 정의

ARP 스푸핑(ARP Spoofing)은 공격자가 허위 ARP Reply를 보내서,
피해자의 ARP 테이블에 잘못된 MAC 주소를 등록시키는 공격입니다.

결과적으로, 트래픽을 가로채거나 변조, 차단할 수 있게 됩니다.

3. 공격 원리

💥 공격 흐름 예시

환경

Victim: 192.168.0.10
Gateway: 192.168.0.1
Attacker: 192.168.0.50

📍 1단계: ARP Reply 위조

Attacker → Victim:
“나는 192.168.0.1 (게이트웨이)야. MAC은 XX:XX:XX:XX:XX:XX야”

Attacker → Gateway:
“나는 192.168.0.10 (Victim)야. MAC은 XX:XX:XX:XX:XX:XX야”

Victim과 Gateway의 ARP 테이블이 공격자의 MAC으로 덮어쓰기됨.

📍 2단계: 트래픽 하이재킹 (MITM)

이제 Victim의 모든 트래픽은 공격자 → 게이트웨이로 우회됨
공격자는 트래픽을 보기, 수정, 저장할 수 있음
이후 게이트웨이로 전달되므로 피해자는 눈치채기 어려움

4. ARP 스푸핑 영향

영향 범위	설명
✅ 정보 유출	로그인 정보, 쿠키, 개인정보 등 가로채기
❌ 세션 탈취	세션 하이재킹 (ex: 웹 로그인 유지된 상태 탈취)
⚠️ 트래픽 변조	패킷 내용을 위조하거나 중간에서 조작
⛔ 서비스 거부	목적지로 트래픽 전달하지 않아 통신 차단 가능 (DoS)

5. ARP 스푸핑 탐지 방법

📌 수동 탐지

ARP 테이블 확인:

arp -a

→ 동일한 MAC 주소가 여러 IP에 등록되어 있으면 의심

패킷 스니핑 도구 사용:
- Wireshark, tcpdump 등으로 ARP 패킷 모니터링

📌 도구 기반 탐지

XArp, ARPWatch, Ettercap (공격자도 사용)
보안 솔루션에서 의심되는 ARP 패킷 탐지

6. 방어 및 대응 방법

✅ 1. 정적 ARP 테이블 설정 (중소 네트워크에 적합)

# Windows 예시
arp -s 192.168.0.1 00-11-22-33-44-55

# Linux 예시
ip neigh add 192.168.0.1 lladdr 00:11:22:33:44:55 dev eth0

→ 수동으로 지정한 MAC 주소만 신뢰

✅ 2. 동적 ARP 방어 시스템 도입

보안 기능	설명
Dynamic ARP Inspection (DAI)	스위치에서 ARP 패킷의 MAC/IP 일치 여부 확인 (Cisco 스위치)
Port Security	허용된 MAC 주소 외에는 포트 차단
DHCP Snooping 연계	신뢰된 포트에서만 DHCP 응답 허용 → ARP 검증에 활용

✅ 3. 암호화 사용

HTTPS, SSH 등 암호화된 프로토콜 사용 → 중간자 공격시에도 안전성 향상

7. 요약 정리

항목	내용
동작 계층	OSI 2계층 (데이터 링크 계층)
공격 방식	허위 ARP 응답으로 MAC 주소 위조
주요 목적	중간자 공격, 정보 탈취, 서비스 방해
탐지 방법	ARP 테이블 확인, 스니핑 도구 사용
방어 방법	정적 ARP, DAI, Port Security, 암호화 사용 등

💡 보너스: 실습 예시 (공격 도구)

도구	설명
Ettercap	GUI 기반 MITM 도구
arpspoof	CLI 기반 ARP 스푸핑 도구 (Kali Linux 포함)
Bettercap	강력한 MITM 프레임워크

⚠️ 실습은 반드시 허가된 테스트 환경에서만 사용하세요. 실제 네트워크에서 사용 시 불법입니다.

zerg96

Next 메모리 해킹기법 방어(버퍼 오버플로우) »

Previous « VLAN (Virtual LAN)

Leave a Comment

Share

Published by

zerg96

Tags: ARPARP 스푸핑네트워크관리사정보보안기사

4개월 ago

Recent Posts

네트워크

노트북(윈도우)에서 아이폰 유선 테더링 하기

윈도우 운영체제의 노트북에서는 iPhone 유선 테더링이 잘 안되는 경우가 많습니다. 보통 iPhone의 드라이버가 설치가 안되있어서인…

3일 ago

데이터베이스

오라클 래치(Latch)

오라클 데이터베이스의 성능을 논할 때, 내부적으로 발생하는 경합(Contention)은 피할 수 없는 주제다. 특히 다수의 프로세스가…

6일 ago

이슈

사장님도 3표, 나도 3표? ‘3%룰’ 완전 정복!

안녕하세요, 혹시 이런 생각해 본 적 없으신가요? "내가 투자한 회사는 누가 감시하고, 어떻게 운영될까?" 오늘은…

2주 ago

인공지능 및 빅데이터

Vector Store(벡터 스토어)

'벡터 스토어' 완벽 가이드: AI 시대, 데이터의 새로운 심장을 만나다 IT 업계는 인공지능(AI)이라는 거대한 패러다임의…

3주 ago

인공지능 및 빅데이터

Gemini CLI (재미나이 CLI)

1. Gemini CLI란 무엇인가요? Gemini CLI는 터미널 환경에서 직접 Gemini 모델과 상호작용할 수 있도록 만들어진…

3주 ago

인공지능 및 빅데이터

과적합 (overfitting)

과적합은 머신러닝에서 학습용데이터를 과하게 학습하여, 실제데이터를 예측하지 못하는 현상을 말합니다. 인공지능(AI)의 학습 방법은 우리가 시험공부를…

1개월 ago

L