ARP 스푸핑을 이용한 MITM 공격

 

ARP 스푸핑?

- 근거리 네트워크(LAN) 환경에서 발생하는 중간자 공격에 사용되는 기술로 활용
IP에서 MAC 주소로 변환하는 과정에서 발생하는 ARP Reply 패킷을 속여 공격하는 방식

 

ARP 스푸핑을 이용한 MITM 공격 원리

- 두 단말 간의 통신을 정상 통신으로 속여 자신에게 향하게 만들어 통신하도록 하는 기술
- 두 단말 간의 정상적 통신을 하는 것으로 알고 있지만 실제로는 공격자를 통해 패킷을 전달
- 공격자는 두 단말 간의 통신 내용을 스니핑(Sniffing) 또는 스푸핑(Spoofing)하여 전달 가능

ARP 스푸핑 공격 과정

- 공격자(IP:X.X.X.40)은 B사용자 PC에게 연결하고자 하는 A사용자 IP에 자신의 MAC 주소를 포함하는 ARP reply 패킷을 지속적으로 보냄
- B 사용자 PC는 X.X.X.10에 해당하는 IP를 자신의 ARP 테이블 내 공격자의 MAC주소로 기억
- 서로 연결하고자 하는 사용자 A,B,PC들은 공격자의 MAC 주소로 통신, 즉 공격자를 통해 서로 연결
- 각 사용자 A,B,PC는 정상 연결로 인지하므로 공격자가 어떤 행위를 하던 정상 패킷으로 간주


ARP 스푸핑을 이용한 위협들

- Sniff 기능 : 도청, 감청 등과 같이 서로 간의 통신을 살펴 볼 수 있음
- 스푸핑 기능 : 중간자 공격으로 서로간의 Packet을 원하는 것으로 수정하여 서로에게 전달할 수 있음

 

ARP 스푸핑 공격 실습

- 환경 구성
 공격자 : Kali 리눅스 (IP : 192.168.0.170)
 피해자 : Windows7 (IP : 192.168.0.200)