ARP 이란?
ARP(Address Resolution Protocol) 은 IP 주소를 기반으로 해당 장비의 MAC 주소를 알아내기 위해 사용되는 프로토콜이다.
같은 네트워크(LAN) 내부에서 통신할 때는 실제로 MAC 주소가 필요하기 때문에, ARP를 통해 MAC 주소를 조회하여 통신을 진행합니다.
게이트웨이 이란?
게이트웨이(Gateway) 는 통신에서 내부 네트워크가 외부 인터넷으로 나갈 때 반드시 거쳐야 하는 관문, 즉 출입문 역할을 한다
일상적으로 우리가 사용하는 공유기가 바로 이 게이트웨이 역할을 수행한다 따라서 모든 인터넷 트래픽이 게이트웨이에 전송된다고 보면 된다
ARP Spoofing 이란?
ARP Spoofing은 해커가 위조된 ARP 패킷을 보내 피해자 게이트웨이 의 MAC 주소는 내 MAC이야~’라고 속이는 공격이다.
결국 해커에게 피해자 데이터가 해커 MAC 주소로 전송된다 이로인해 모든 인터넷 트래픽이 모두 해커를 거치게 되어
신용정보나 비밀번호가 탈취될수 있다
ARP Spoofing 과정
A와 B가 서로 통신을 하고 있다 생각을 해보자
1. 해커는 먼저 A에게 B의 MAC 주소는 내 MAC 주소라 속인다
2. 그다음 해커는 B에게 A의 MAC 주소는 내 MAC 주소라 속인다
3. 이렇게 하여 A와 B의 통신이 모두 해커를 거치게 된다
ARP Spoofing 실습
ettercap 을 사용하여 ARP Spoofing 공격을 진행하겠습니다
ettercap -G
wlan0 네트워크 대역대를 스캔해줍니다
그후 타겟을 선정후 Only poison one-way 를 클릭
스푸핑이 시작되였습니다
wireshark 를 통해 wlan0 패킷을 확인해줍시다
성공적으로 위조된 ARP 패킷을 보실수 있습니다
또한 SSL 인증서로 인해 보호된 HTTPS 패킷을 볼수 있습니다
1737 123.189772538 H1Radio_33:15:99 Broadcast ARP 60 Who has 192.168.45.225? Tell 192.168.45.1
HTTP 사이트로 접속을 하면 기존 SSL 인증서로 인한 보호된 패킷과 다르게 패킷에 남습니다
그로인해 HTTP 로그인을 하면 비밀번호나 신용정보가 해커에게 전송될수 있습니다
이와 같은 ARP Spoofing 을 예방하기 위해선 공공와이파이를 이용하는것을 자제하거나
공공와이파이로 HTTP 사이트에 접속해 로그인이나 중요한 정보를 입력하는걸 하지 않으면
ARP Spoofing 을 예방할수 있습니다
여기까지 봐주셔서 감사합니다