ARP spoofing

토폴로지

 

 

ARP spoofing

ARP 스푸핑(ARP spoofing)은 네트워크 보안과 관련된 공격 기술 중 하나로, 주소 해상도 프로토콜(Address Resolution Protocol, ARP)을 악용하여 공격을 수행하는 기술이다. ARP 스푸핑은 로컬 네트워크에서 주로 발생하며, 공격자가 다른 호스트의 네트워크 패킷을 가로채거나 조작하는 데 사용된다.

 

 

kali에서 설치할 패키지

apt install fragrouter

apt -y install dsniff

 

 

mac 주소 변조

GW의 mac 주소 확인

 

 

arpspoof -i eth0 -t 10.1.10.12 10.1.10.254

 

 

client에서 다시 GW의 mac 주소를 확인하면 kali의 mac 주소로 변조되어 있다

 

 

mac 주소가 변조됐기 때문에 ping test 안 됨

 

 

네트워크 트래픽 조작

"fragrouter"는 네트워크 패킷 조각화 공격을 수행하는 도구 중 하나다. 이 도구를 사용하면 네트워크 패킷을 조각화하여 공격자가 네트워크 트래픽을 숨기거나 변조할 수 있다. 패킷 조각화는 패킷을 여러 작은 조각으로 나누고, 이 조각들을 수신 호스트에서 다시 조립하여 패킷을 완전히 복구하는 프로세스다.

fragrouter -B1

 

 

cliet에서 다시 ping test 시 성공

 

 

조작 내용 확인

이러한 방법을 통해 mac 주소를 변조 후에도 상대방에게 들키지 않고  ARP spoofing 공격을 이어나갈 수 있다.

 

 

MITM 공격

etthercap -T -M arp /10.1.10.12///10.1.10.254/

 

 

client에서 telnet 접속

 

 

접속해서 실행한 것들을 중간에서 확인 가능

 

 

client에서 GW의 웹에 접속

 

 

계정명과 비밀번호 뿐만 아니라 웹에서 실행할 것들을 확인 가능하다

 

 

ARP inspection

ARP Inspection은 네트워크 보안을 강화하기 위한 네트워크 스위치의 기능 중 하나로, 주소 해결 프로토콜(Address Resolution Protocol, ARP)을 사용하는 공격을 방지하는 데 사용된다. ARP는 IP 주소와 MAC 주소 간의 매핑을 수행하며, ARP 스푸핑 및 ARP 포이즈닝과 같은 공격에 취약할 수 있다. ARP 인스펙션은 이러한 공격을 감지하고 차단하기 위한 기술이다.

 

 

ARP 인스펙션의 주요 기능과 원리

• ARP 패킷 검사 : ARP 인스펙션은 네트워크 스위치가 ARP 패킷을 모니터링하고 검사하는 기능을 제공한다.
• MAC 주소와 IP 주소 매핑 : ARP 인스펙션은 MAC 주소와 IP 주소 간의 올바른 매핑을 추적한다. ARP 패킷이 수신되면 해당 패킷에 포함된 MAC 주소와 IP 주소가 일치하는지 확인한다.
• 허가되지 않은 ARP 패킷 차단 : ARP 인스펙션은 허가되지 않은 ARP 패킷을 차단한다. 예를 들어, 공격자가 다른 디바이스의 MAC 주소와 IP 주소를 변경하려고 시도할 때 이러한 패킷을 차단한다.
• 트러스트 인터페이스 설정 : ARP 인스펙션은 특정 인터페이스를 신뢰할 수 있는 인터페이스로 설정하여 해당 인터페이스에서는 ARP 검사를 수행하지 않는다. 주로 서버나 라우터와 같이 신뢰할 수 있는 장치에 적용된다.