ARP Spoofing (스푸핑)

▣ ARP Spoofing 이란 ?

ARP 스푸핑(ARP spoofing)은 근거리 통신망(LAN) 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다. 이 공격은 데이터 링크 상의 프로토콜인 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격이다.

▣ 공격 과정.

로컬 영역 네트워크에서 각 장비의 IP 주소와 MAC 주소간의 대응은 ARP 프로토콜을 통해 이루어진다. 이때 공격자가 의도적으로 특정 IP 주소와 자신의 MAC 주소로 대응하는 ARP 메시지를 발송하면, 그 메시지를 받은 장비는 IP 주소를 공격자 MAC 주소로 인식하게 되고, 해당 IP 주소로 보낼 패킷을 공격자로 전송하게 된다. 이 때 공격자는 그 패킷을 도청하거나 원하는 대로 변조한 다음 원래 목적지 MAC 주소로 발송하는 공격을 할 수도 있다.

흔히 사용되는 공격 방식은 게이트웨이 IP를 스푸핑하는 것으로, 이 경우 외부로 전송되는 모든 패킷이 공격자에 의해 가로채거나 변조될 수 있다. 또는, 두 노드에 각각 ARP 스푸핑을 하여 두 장비의 통신을 중간에서 조작하는 기법도 자주 사용된다.

▣ 실습 과정

Victim(공격대상)이 텔넷 서버로 접속하는 상황에서 패킷을 중간에 가로채어 텔넷 접속 계정 정보를 가로채 보기로 한다.

[실습환경]

=====================================================

공격자 : Kali Linux (Hyper-V)

텔넷버서 : CentOS 6.4 (Hyper-V)

Victim(공격대상) : Win XP (Hyper-V)

=====================================================

● ARP Spoof 공격 이전 

⊙ 공격 대상 (Victim:10.50.1.29)

1. 라우팅 테이블

● ARP Spoof 공격

⊙ 공격자 (10.50.1.31)

1. fragrouter

2. ARP Spooing 공격

3. fragrouter 상태

⊙ Victim (10.50.1.29)

1. 텔넷 접속

2. 라우팅 테이블

⊙ 공격자 (10.50.1.31)

1. 패킷 분석