ARP Protocol (Address Resolution Protocol, 주소 결정 프로토콜, RFC 826)
참~ 한국말로 바꾸니 웃기넹..ㅋㅋ
ARP 프로토콜은 IP 주소를 실제 물리적인 주소로 대응하기 위한 프로토콜이다.
흔히 말하는 MAC Address를 구하기 위해 사용한다.
A가 B에게 데이터를 전송할 때, 만약 B의 물리적인 주소를 모르면, ARP 패킷을 브로드캐스트 하게 되는데, 이 패킷을 받은 호스트 들 중 해당 IP를 가지고 있는 호스트(B) 는 자신의 MAC 주소를 응답하게 되는 것이다.
그리고 이 때 받은 MAC 주소 및 IP주소는 ARP 테이블에 저장되어서 다음번 데이터 전송시 ARP 패킷을 날리지 않아도 이 주소를 찾아 데이터를 전송할 수 있다.
아래처럼 cmd 명령으로 arp-a 를 입력하면 arp 테이블을 확인할 수 있다. (리눅스도 동일, 터미널에서 arp -a)
그렇다면, ARP Spoofing은 무엇일까?
"Spoof"는 속이다, 사고 치다 라는 뜻이 있는데, ARP패킷을 "속이는 것" 이라는 의미로 이해하면 된다.
브로드캐스팅 된 ARP 패킷을 보고, 자신이 그 IP의 주인인 것처럼 하여 자신의 MAC주소를 송신자에게 응답하게 된다. 이에 따라 송신자는 위조된 MAC주소로 데이터를 전송하게 되는 것이다.
아무리 안전하게 서버를 보호한다고 해도, 그 서버와 동일한 네트워크 대역을 쓰는 환경에서 다른 서버의 취약점을 이용하여 쉽게 그 서버를 공격할 수 있다.
ARP Spoofing이 발생되면 해커는 자신의 MAC 주소를 ARP 캐시에 저장시키기 위해 계속 ARP 패킷을 전송하여 ARP 캐시(테이블)을 갱신시킨다. 따라서 네트워크상에 불필요한 ARP 패킷이 많이 발생할 경우, ARP Spoofing 공격을 의심할 수 있다.
구글에서 ARP 스푸핑을 검색하면 나오는 자료 중 아래의 링크가 참 유용하다.
그림도 쉽게 되어 있어 참고하면 좋을듯.
'Information Security > Info.Security' 카테고리의 다른 글
| Openssl - Cipher 고르기 (0) | 2012.04.12 |
|---|---|
| 해쉬 알고리즘, SHA (0) | 2012.04.12 |
| Information Classification (0) | 2012.04.12 |
| The big three (0) | 2012.04.12 |
| TLS Handshaking 패킷 분석 (0) | 2012.04.12 |