- ARP Spoofing
MAC Address를 Hacker의 MAC Address를 알려주어 Hacker를 통해 통신하여 중간에서 확인할 수 잇는 방법이다.
때문에 Hacker가 뜬금없이 reply 를 보낸다.
이것을 막기위해 서버는 request를 보내지 않았는대 갑자기 들어오는 reply는 버리게 되어있다.
-> Hacker 또한 이 것을 알고 reply신호를 계속해서 보낸다. request는 언젠가 보내게 되어있고 한번만 걸리면 된다.
그럼 spoofing을 막는 방법은 무엇일까?
1. ARP Caching Table을 Static하게 MAC 주소를 등록하는 방법이다.
Static 하게 등록해놓으면 request를 보내지 않고 Table을 참조하여 바로 통신하며 서버가 재부팅 되기 전까지 지워지지 않는다.
-> Static 하게 설정하는 스크립트를 만들어 서버가 시작될때 자동으로 실행되게 한다.
# cd /root/bin
# vi arp.sh
|
#!/bin/bash ROUTER = 192.168.27.100 ping -c 1 $ROUTER > /dev/null 2>&1 if [ $? -eq 0 ] ; then MAC=`arp -an | grep $ROUTER | awk '{print $4}'` arp -s $ROUTER $MAC fi |
|
-> 192.168.27.100 서버에 ping을 보내고 이것이 잘 수행되면
arp -an 명령어로 MAC 주소를 얻어 Static으로 다시 등록한다.
-> 추가적인 IP는 IP.txt 를 만들어 IP를 다 적어두고
for in 반복으로 돌려주면 간단하게 구현 할 수 있다.
# vi /etc/rc.local
|
#!/bin/sh # # This script will be executed *after* all the other init scripts. # You can put your own initialization stuff in here if you don't # want to do the full Sys V style init stuff. touch /var/lock/subsys/local /root/bin/arp.sh
|
|
-> /etc/rc.local 에 스크립트를 올려두면 부팅시에 자동으로 실행된다.
[참고] window
c:\> netsh interface ip ad neighbor "로컬 영역 연결" "GW IP" "MAC Address"
2. MAC Address 를 전송한다.
이 점을 이용하여 방어하는 방법이다. ARP Spoofing은 MAC Address를 잘못 알려주어 해킹하는 것이다.
즉 같은 네트워크에 속해야만 가능한 방법이다.
IP를 바꾸어 같은 네트워크에 속하지 않는다면 불가능하다. 하지만 이런방법은 적용하기 어렵기때문에
논리적으로 네트워크를 구분하는 VLAN 방법을 사용하면 편하게 네트워크를 나눌 수 있다.
[ 참고 ] 자료:한국인터넷진흥원(KISA)
TR-2007-001_ARP_Spoofing.pdf'Security > Network Security' 카테고리의 다른 글
| IP Header 분석 (0) | 2017.10.18 |
|---|---|
| ICMP 패킷 분석 (0) | 2017.10.18 |
| ARP Spoofing (0) | 2017.10.18 |
| ARP 동작 확인 (0) | 2017.10.17 |
| 이더넷 프레임 구조확인 (0) | 2017.10.17 |
