ARP Spoofing 스푸핑 공격을 이용한 MITM 공격 원리

ARP 스푸핑(ARP Spoofing)은 근거리 네트워크(LAN)에서

사용되는 대표적인 중간자 공격으로 두 단말 간의 통신을 속여

자신의 IP를 통해 통신하도록 만들어 중간에서 네트워크 통신 내용을

스니핑 또는 스푸핑 하도록 하는 기술입니다.

 

ARP Spoofing은 서비스거부공격으로써

사용자가 평소처럼 컴퓨터를 사용가능 합니다.

이는 DOS가 아닌 스나핑이 된 것으로 IP에서 MAC주소로

변환하는 과정에서 발생하는 ARP Reply패킷을 변조하여 공격하는

방식이라 감염을 확인하기는 어렵다.

 

ARP스푸핑을 이용한 MITM 공격 원리

두 컴퓨터 간의 통신 사이에서 통신을

정상적인 것처럼 속여 데이터가 공격자를 경유하도록 유도하는 기술로써

두 컴퓨터는 정상적인 통신을 하는 것으로 인지하지만, 실제로는 공격자를 통해 패킷을 전달합니다.

즉, 공격자는 두 컴퓨터 간의 통신 내용을

스니핑(Sniffing) 혹은 스푸핑(Spoofing)을 하여 전달하고 공격을 통해 통신 내용을

도청하거나 변조하는데 활용할 수 있습니다.

ARP스푸핑 공격 과정

1. ARP스푸핑(Spoofing)을 이용하여 중간자 공격을 수행할 수 있는데

이 공격으로 인해 통신 내용을 도청하거나 변조하는데 활용할 수 있습니다.

공격자는 B사용자 PC에게 연결하고자 하는 A사용자 IP에

자신의 MAC주소를 포함하는 ARP reply패킷을 지속적으로 보냄

B사용자 PC는 X.X.X.10에 해당하는 IP를 자신의 ARP테이블 내 공격자의 MAC주소로 기억하죠.

2. 공격자는 두번째로 A사용자 PC에게 연결하고자 하는

B사용자 IP에 자신의 MAC주소를 포함하는 ARP reply패킷을 지속적으로 보냄

A사용자 PC는 x.x.x.20에 해당하는 IP를

자신의 ARP테이블 내 공격자의 MAC주소로 기억합니다.

3. 서로 연결하고자 하는 A,B사용자 PC들은

공격자의 MAC주소로 통신하는데, 이는 공격자를 통해 서로 연결되는 것입니다.

각 A,B사용자 PC는 정상 연결로 인지하므로

공격자가 어떠한 행위를 하든 정상 패킷으로 간주하게 되죠.

 

4. ARP스푸핑을 이용한 위협

스니핑 기능 : 도청, 감청 등과 같이 서로 간의 통신을 살펴 볼 수 있습니다.

스푸핑 기능 : 중간자 공격으로 서로 간의 Packet을 원하는 것으로 수정하여 서로에게 전달할 수 있습니다.

 

arpspoof -i eth0 -t [GATEWAY_IP] [TARGET_IP]

• arpspoof -i eth0 -t 10.200.XX.18 10.200.XX.17
• arpspoof -i eth0 -t 10.200.XX.17 10.200.XX.18

네트워크 연결을 위해 포워딩을 해주는 명령 실행

• fragrouter -B1

공격자와 게이트웨이가 동일한 MAC 주소임을 확인

• arp -a 피해자 PC에서 명령어를 활용하여 서버로 로그인시 노출된 ID, PW를 공격자의 wireshark에서 확인 가능