ARP (Address Resolution Protocol) : 주소 결정 프로토콜
네트워크 상에서 IP 주소를 MAC 주소로 대응시키기 위해 사용되는 프로토콜
컴퓨터는 아이피 주소로만 통신하는 게 아닌 MAC 주소도 같이 사용함.
컴퓨터 안에 실제로 있는 네트워크 카드의 일련번호를 쉽게 MAC 주소라고 생각하면 된다.
아래 그림처럼 통신을 할 때 B의 맥주소인 BB로 보내야지! 이런 식으로 통신을 한다.
Spoofing : 사전적 의미로 속이다 라는 뜻.
ARP Spoofing : 공격자가 의도적으로 특정 IP 주소의 MAC 주소를 자신의 MAC 주소로 변경하는 공격
이 공격을 통해 공격자는 도청이 가능하게 된다.
Ex) A와 B가 통신을 한다. 공격자가 B의 MAC 주소 인척 A에게 자신의 맥주소를 보내고 A의 MAC 주소 인척 B에게 자신의 MAC 주소를 보낸다.
그러면 A와 B가 서로에게 정보를 보낼 때 자신이 보낸 정보가 자신이 정한 목적지로 잘 가고 있다고 생각하지만 실은 공격자에게 가게 되는 것이다.
공격자가 이 정보를 보내는 데까지 성공하면 아래 그림처럼 되는 것이다.
공격자는 도청 중인 사실을 들키지 않기 위해서 수신받은 데이터를 원래 목적지에 전송한다. (중간자 공격)
공격 시연
arpspoof -t [타겟 IP] [속일 IP]
피해자의 PC에서 arp -a 명령어로 arp 테이블 확인
게이트웨이 : 외부에서 내부로, 내부에서 외부로 나가는 통로
피해자 PC에서 본 게이트웨이의 MAC 주소가 변경되었다.
원래 목적지에 데이터를 전송하기 위해서 라우팅 프로그램 사용
fragrouter -B1
이제 공격 후 어떤 일이 발생할 수 있는지 살펴보자.
도청 중인 공격자의 모습.
피해자는 아무것도 모른 채로 웹서버에 로그인을 하지만 이 정보는 공격자를 거쳐가기 때문에 공격자는 이 정보를 가로채서 읽을 수 있다.
심화 내용을 원하시는 분들은 SSL Strip을 공부해보시는 걸 추천드립니다.
www.youtube.com/watch?v=myeHc0P81Pk
관련 내용 8:54
'해킹, 보안 > 네트워크' 카테고리의 다른 글
| 2021 TeamH4C Webinar - Network Hacking is too fun! 발표 자료 공유 (0) | 2021.01.18 |
|---|