반응형
ARP/RARP 프로토콜 특징
- 논리적인 주소와 물리적인 주소 사이의 변환을 담당하는 프로토콜
- 2계층에서 노드간의 데이터 교환은 MAC주소를 필요로함
ARP 동작방식
- 2계층 브로드 캐스트 주소 ff:ff:ff:ff:ff:ff 로 ARP Request 전송 (IP가 x.x.x.x인 노드의 MAC 주소좀 알려줘) => 동일 로컬 네트워크내의 모든 노드에 전송
- IP가 x.x.x.x인 노드는 ARP Reply에 자신의 MAC 주소를 담아서 전송
******************************************************************************
브로드캐스트 주소 - 3계층 (255.255.255.255), 2계층 (ff:ff:ff:ff:ff:ff)
다른네트워크의 브로드캐스트 주소를 다이렉트 브로드캐스트 주소라고 함
*******************************************************************************
ARP Cache Table
- Node는 ARP Reply에 담긴 MAC 주소를 Cache Table에 일정시간 담아둔다.
- arp -a 명령어를 통해 Cache Table 확인 가능
- MAC 주소는 static/dynmaic 으로 표시되며, static 으로 설정된 MAC 주소는 시스템 재부팅 전까지 유지된다.
- arp -d 캐시테이블 삭제
- arp -s 정적인 MAC주소 등록
- arp -s 192.168.1.1 00-00-00-00-00-00
ARP Spoofing 공격(ARP Cache Poisoning)
- L2 스위치 환경에서는 Promisicuous 모드만으로 스니핑할 수 없기 때문에, ARP Spoofing공격을 통하여 스니핑한다.
- 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 만들어 희생자에게 지속적으로 전송하면 희생자의 ARP Cache Table에 특정호스트의 MAC정보가 공격자의 MAC 정보로 변경 (ARP Reply는 송신자에 대한 인증이 없음)
- 대응방법
- ARP 프로토콜 자체의 취약점(reply 송신자 인증방법)이 존재하기 때문에 완벽한 방어는 없지만, 일반적인 방어 방법인 ARP 캐시를 정적(static)으로 설정하는 방법이 존재(정적으로 등록하게되면 ARP Reply가 와도 MAC 주소가 변경되지 않는다. 단, 재기동시마다 다시 등록해야하는 번거로움이 존재한다.)
GARP(Gratuitous ARP)
- Sender IP 와 Target IP 가 동일한 ARP 요청을 GARP 라고 함
- 장비가 ARP 요청 브로드캐스트를 통해 네트워크에 있는 다른 장비들에게 자신의 존재를 알리는 목적으로 사용되는 패킷
- 동일 네트워크상의 다른 장비들에게 자신의 존재를 알려 ARP Cache를 갱신하도록 하는 목적
- 목적
- IP 충돌 감지 ( 사내에서 IP를 할당받아 등록하면, IP가 충돌됬다고 메시지가 뜨는 경우가 이에 해동 )
- 상대방의 ARP Cache 정보 갱신
*******************************************************************************
MITM(Man In The Middle) 공격 (중간자 공격)
- 도청 : 소극적
- 도청 + 조작 + 재전송 : 적극적/능동적 공격
*******************************************************************************
반응형
'자격증 노트 > 정보보안기사' 카테고리의 다른 글
| [정보보안기사] ICMP 프로토콜(Internet Control Message Protocol) (0) | 2018.05.10 |
|---|---|
| [정보보안기사] IP프로토콜 (0) | 2018.05.09 |
| [정보보안기사] 네트워크(OSI 7계층) (0) | 2018.05.09 |
| [정보보안기사] 리눅스 syslog 설정 및 관리 (0) | 2018.05.09 |
| [정보보안기사] 유닉스/리눅스 주요 로그 파일 (0) | 2018.05.08 |
