[ Se - 03 ] ARP Protocol

1. ARP 및 RARP Protocol 특징

• 논리적인 주소(Logical Address)와 물리적인 주소(Physical Address) 사이의 변환을 담당하는 프로토콜
• ARP (Address Resolution Protocol) : 논리적인 IP 주소를 물리적인 MAC 주소로 변환해주는 역할을 수행하는 프로토콜
• RARP (Reverse ARP) : 물리적인 MAC 주소를 논리적인 IP 주소로 변환해주는 역할을 수행하는 프로토콜

 

2. ARP 동작 방식

1. 최초 상대방의 물리적인 주소(MAC)을 모르기 때문에 ARP Request 메시지를 만들어 Broadcast 전송
2. 해당 IP인 Target은 자신의 MAC 주소를 담은 ARP Reply 메시지로 응답
3. 응답 하는 ARP Reply는 요청하는 MAC주소를 알고 있기 때문에 Unicast로 통신
4. Target이 아닌 Host들이 받은 ARP Request 메시지는 폐기
5. 각 시스템은 ARP Cache Table에 정보를 보관, 이 후 일정 시간 경과 후 삭제

 

3. ARP Cache Table

개요

• ARP 요청을 통해 알아낸 MAC정보는 OS에 따라 1~2분 정도 메모리에 저장

관련 명령어

• arp -a : 캐시 내용 보기
• arp -d <ip address> : 캐시 내용 삭제
• arp -s <ip address> <mac address> : 캐시 정적 설정

 

 

4. ARP Spoofing (ARP Cache Poisoning)

개요

1. 공격자가 희생자의 MAC주소를 공격자의 MAC주소로 ARP Reply를 희생자에게 지속적으로 전송
2. 희생자 ARP Cache Table의 MAC정보가 공격자의 MAC정보로 지속적 변경
3. 공격자는 희생자간에 정상적인 통신이 이뤄지도록 IP Forward 기능 활성화
4. Gateway(Router)주소를 공격자 MAC주소로 변조하여 스니핑하면 ARP Redirect 공격
5. ARP Spoofing은 2계층 주소인 MAC 주소를 속여 스니핑하는 것으로 공격대상이 동일 네트워크 대역에 존재

대응 방법

1. ARP Request 및 Reply 과정에서 별도의 인증과정이 없는 ARP 프로토콜자체의 취약점을 이용한 공격으로 완벽한 방어는 없음
2. ARP Cache Table 을 Static으로 설정하여 ARP Reply를 수신해도 캐시 정보가 갱신되지 않도록 함
3. 캐시 정보는 시스템 종료 시 삭제되므로 기동 시 마다 정적 구성
4. ARP 트래픽을 실시간으로 모니터링 프로그램 이용