Wireshark의 ARP 스푸핑 공격 분석

Wiresharkui Arp Seupuping Gong Gyeog Bunseog



우리는 많은 네트워킹 공격에 대해 들어봤을 것입니다. ARP 스푸핑은 많은 네트워킹 공격 중 하나입니다. ARP 스푸핑은 ARP 요청이 공격자에 의해 로컬 영역 네트워크에 경쟁적으로 전송되는 메커니즘입니다. 피해자로부터 ARP 응답이 오면 실제 트래픽이 실제 시스템이 아닌 공격자 시스템으로 이동하도록 공격자의 MAC 주소가 다른 실제 호스트의 IP 주소로 업데이트됩니다. 이 기사에서는 ARP 스푸핑 공격에 대해 자세히 알아보겠습니다.

ARP 스푸핑 공격에 사용할 도구

ARP 스푸핑을 시작하는 데 사용할 수 있는 Arpspoof, Cain & Abel, Arpoison 및 Ettercap과 같은 많은 도구가 있습니다.

다음은 언급된 도구가 논쟁적으로 ARP 요청을 보내는 방법을 보여주는 스크린샷입니다.







ARP 스푸핑 공격 세부 정보

몇 가지 스크린샷을 보고 ARP 스푸핑을 단계별로 이해해 보겠습니다.



1 단계 :



공격자의 기대는 피해자의 MAC 주소를 알 수 있도록 ARP 회신을 받는 것입니다. 이제 주어진 스크린샷에서 더 나아가면 192.168.56.100 및 192.168.56.101 IP 주소에서 2개의 ARP 응답이 있음을 알 수 있습니다. 그 후 피해자[192.168.56.100 및 192.168.56.101]는 ARP 캐시를 업데이트하지만 다시 쿼리하지 않습니다. 따라서 ARP 캐시의 항목은 수정되지 않습니다.

ARP 요청 패킷 번호는 137과 138입니다. ARP 응답 패킷 번호는 140과 143입니다.



따라서 공격자는 ARP 스푸핑을 수행하여 취약점을 찾습니다. 이것을 '공격 진입'이라고 합니다.

2 단계:
패킷 번호는 141, 142 및 144, 146입니다.

이전 활동에서 공격자는 이제 192.168.56.100 및 192.168.56.101의 유효한 MAC 주소를 갖게 되었습니다. 공격자의 다음 단계는 ICMP 패킷을 피해자의 IP 주소로 보내는 것입니다. 그리고 주어진 스크린샷에서 공격자가 ICMP 패킷을 보내고 192.168.56.100 및 192.168.56.101에서 ICMP 응답을 받은 것을 볼 수 있습니다. 이는 두 IP 주소[192.168.56.100 및 192.168.56.101]에 도달할 수 있음을 의미합니다.

3단계:

호스트가 활성 상태이고 08:00:27:dd:84:45의 동일한 MAC 주소를 가지고 있는지 확인하기 위해 192.168.56.101 IP 주소에 대한 마지막 ARP 요청이 있음을 볼 수 있습니다.

주어진 패킷 번호는 3358입니다.

4단계:

192.168.56.101 IP 주소를 사용하는 다른 ICMP 요청 및 응답이 있습니다. 패킷 번호는 3367과 3368입니다.

여기에서 공격자는 IP 주소가 192.168.56.101인 피해자를 대상으로 하고 있다고 생각할 수 있습니다.

이제 IP 주소 192.168.56.100 또는 192.168.56.101에서 IP 192.168.56.1로 들어오는 모든 정보는 IP 주소가 192.168.56.1인 MAC 주소 공격자에게 도달합니다.

5단계:

공격자가 액세스 권한을 얻으면 실제 연결을 시도합니다. 주어진 스크린샷에서 공격자로부터 HTTP 연결 설정이 시도되고 있음을 알 수 있습니다. HTTP 내부에 TCP 연결이 있으며 이는 3방향 핸드셰이크가 있어야 함을 의미합니다. 다음은 TCP에 대한 패킷 교환입니다.

SYN -> SYN+ACK -> ACK.

주어진 스크린샷에서 공격자가 다른 포트에서 SYN 패킷을 여러 번 재시도하고 있음을 알 수 있습니다. 프레임 번호 3460 ~ 3469. 패킷 번호 3469 SYN은 HTTP인 포트 80용입니다.

6단계:

첫 번째 성공적인 TCP 핸드셰이크는 주어진 스크린샷의 다음 패킷 번호에 표시됩니다.

4488: 공격자의 SYN 프레임
4489: 192.168.56.101의 SYN+ACK 프레임
4490: 공격자의 ACK 프레임

7단계:

TCP 연결이 성공하면 공격자는 HTTP 연결[프레임 번호 4491~4495]과 SSH 연결[프레임 번호 4500~4503]을 설정할 수 있습니다.

이제 공격은 다음을 수행할 수 있도록 충분한 제어 권한을 갖습니다.

  • 세션 하이재킹 공격
  • 중간자 공격 [MITM]
  • 서비스 거부(DoS) 공격

ARP 스푸핑 공격을 방지하는 방법

다음은 ARP 스푸핑 공격을 방지하기 위해 취할 수 있는 몇 가지 보호 조치입니다.

  1. '정적 ARP' 항목 사용
  2. ARP 스푸핑 탐지 및 방지 소프트웨어
  3. 패킷 필터링
  4. VPN 등

또한 HTTP 대신 HTTPS를 사용하고 SSL(Secure Socket Layer) 전송 계층 보안을 사용하면 이런 일이 다시 발생하는 것을 막을 수 있습니다. 이것은 모든 통신이 암호화되도록 하기 위한 것입니다.

결론

이 기사에서 우리는 ARP 스푸핑 공격에 대한 몇 가지 기본 아이디어와 이것이 시스템의 리소스에 액세스하는 방법을 얻었습니다. 또한 이제 이러한 종류의 공격을 중지하는 방법을 알고 있습니다. 이 정보는 네트워크 관리자나 시스템 사용자가 ARP 스푸핑 공격으로부터 보호하는 데 도움이 됩니다.

다른

범주

인기 게시물

Java에서 swap() 메서드를 사용하는 방법

PowerShell에서 원격 명령을 실행하는 단계는 무엇입니까?

Pop!_OS에 Roblox를 설치하는 방법

해결됨: 업데이트 2022 이후에 Windows 10이 종료되지 않음(멈춤)

SQL 서버 부여

CSS를 사용하여 커서를 가리켜 이미지로 변경하는 방법

Java에서 동적 바인딩을 사용하는 방법?

Java로 MongoDB에 연결하는 방법

C++ 쌍의 벡터 정렬

AWS CLI를 사용하여 IAM 역할을 맡는 방법은 무엇입니까?

커패시터를 테스트하는 방법

Linux의 Cppcheck 명령

전체 온라인 컴퓨터 공학 데이터베이스 및 인터넷 취업 과정 2장의 문제를 처음부터 해결하는 방법

Windows 11에서 프로세서가 ARM64 또는 x64(64비트)인지 확인하는 방법은 무엇입니까?

Docker 가져오기와 로드의 차이점은 무엇입니까?

CMD 명령줄을 사용하여 Windows 10을 원격으로 종료하는 방법

Pandas에서 DataFrame 지우기

Windows 11에서 삭제할 수 없는 파일을 강제 삭제하는 방법은 무엇입니까?

PyTorch에서 확장 작업을 사용하는 방법은 무엇입니까?

C++ 헤더 파일을 만들고 사용하는 방법