ARP 프로토콜(취약점/대응방법)

ARP 란 ? IP 주소로 그에 해당하는 MAC주소를 알아내는 프로토콜입니다.

 

MAC 주소는 hop by hop으로 이동하기 위해 필요합니다.

 

---

MAC 주소를 알 수 있는 방법은? 

 

ARP 프로토콜을 사용하여 알 수 있습니다.

자주 사용하는 MAC주소는 ARP Cache Table에 저장하고 사용합니다.

---

arp -a 명령어를 통해 ARP Table을 확인할 수 있습니다.

---

ARP 동작 원리

 

최초 ARP Request 패킷을 Broadcast로 전송하며, 응답은 Unicast형태(ARP Reply)로 전달 받습니다.

이유 : MAC 주소를 모르기 때문에 연결된 모든 네트워크에 Broadcast로 물어봅니다.

---

문제점 :

1. ARP Request가 전송되지 않아도, ARP Reply가 전송됩니다.(TCP/IP의 구조적 문제점)

Reply 받은 PC는 ARP Table에 MAC값을 저장할 수 있습니다. (Host를 인증하지 않습니다.)

 

2. ARP Cache Table은 최근의 정보만 가지고 있습니다. Reply 패킷을 받으면 Cache Table에 반영하여, 공격자가 의도적으로 MAC 주소 변경이 가능합니다.

 

 

따라서 ARP 스푸핑을 통한 MITM 공격이 가능합니다. 

공격자가 클라이언트와 서버 사이의 패킷을 가로채 패킷을 조작할 수 있습니다.

---

대응 방법 

 

 

 

명령어 : arp -s [IP주소] [MAC주소] 

 

-s 는 Static의 약자입니다.

 

 

또는 ARP 스푸핑 탐지도구 XArp, ARPWatch를 설치하여 공격 여부를 파악할 수 있습니다.