ARP Spoofing

ARP 스푸핑(ARP spoofing)은 근거리 통신망(LAN) 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다. 이 공격은 데이터 링크 상의 프로토콜인 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격이다.

이 기법을 사용한 공격의 경우 특별한 이상 증상이 쉽게 나타나지 않기 때문에 사용자는 특별한 도구를 사용하지 않는 이상 쉽게 자신이 공격당하고 있다는 사실을 확인하기 힘들다.

ARP Spoofing은 ARP의 허점을 이용하여 자신의 MAC(Media Access Control)주소를 다른 컴퓨터의 MAC인 것처럼 속인다. ARP Spoofing 공격은 ARP Cache 정보를 임의로 바꾼다고 하여 'ARP Cache Poisoning 공격' 이라고도 한다. 쉽게 말해, 공격자가 Gateway로 위장하여 사용자와 서버 중간에서 서로의 패킷을 감시하는것 이다.

로컬 영역 네트워크에서 각 장비의 IP 주소와 MAC 주소간의 대응은 ARP 프로토콜을 통해 이루어진다. 이때 공격자가 의도적으로 특정 IP 주소와 자신의 MAC 주소로 대응하는 ARP 메시지를 발송하면, 그 메시지를 받은 장비는 IP 주소를 공격자 MAC 주소로 인식하게 되고, 해당 IP 주소로 보낼 패킷을 공격자로 전송하게 된다. 이 때 공격자는 그 패킷을 원하는 대로 변조한 다음 원래 목적지 MAC 주소로 발송하는 공격을 할 수도 있다. 흔히 사용되는 공격 방식은 게이트웨이 IP를 스푸핑하는 것으로, 이 경우 외부로 전송되는 모든 패킷이 공격자에 의해 가로채거나 변조될 수 있다. 또는, 두 노드에 각각 ARP 스푸핑을 하여 두 장비의 통신을 중간에서 조작하는 기법도 자주 사용된다.

See also

• Address Resolution Protocol (ARP)
• Man-in-the-middle attack
• Network Administrator
• Network Security

Favorite site

• Wikipedia (en) ARP스푸핑에 대한 설명
• 마이크로 소프트웨어: 난 네가 지난번에 입력한 비밀번호를 알고 있다 (ARP 스푸핑에 대하여...)
• Switching Hub 에서 패킷 모니터링 하기
• ARP Spoofing 방법에 대한 설명
• ARP Spoofing 공격에 대응하는 방법
• ARP Spoofing 확인방법
• ASEC 2007년 6월 리포팅 ARP Spoofing의 습격, 그리고 방어 전략 ¹

References

---

1. Asec_report_2007_06_arp_spoofing.pdf ↩