ARP 포이즈닝/스푸핑을 어떻게 감지하며 그것을 방지

ARP 포이즈닝 스푸핑

ARP(Address Resolution Protocol)중독은 공격을 보내는 포함하는 스푸핑 ARP 통해 메시지를 로컬 영역 네트워크입니다. 그것은 또한 아프 스푸핑,아프 포이즌 라우팅 및 아프 캐시 중독으로 알려져있다.

이러한 공격은 원래 의도된 호스트에서 공격자로 트래픽을 전환하려고 시도합니다. 공격자의 미디어 액세스 제어 주소(맥)를 대상의 아이피 주소와 연결함으로써 이 작업을 수행합니다. 그것은 단지 아프를 사용하는 네트워크에 대해 작동합니다.

아프 중독은 네트워크 트래픽을 중지,변경 또는 가로채는 데 사용할 수 있는 중간자 공격의 한 유형입니다. 이 기술은 종종 세션 하이재킹 또는 서비스 거부와 같은 추가 공격을 시작하는 데 사용됩니다.

아프 중독이 무엇인지 이해하기 전에 아프 프로토콜에 대한 확실한 배경을 갖는 것이 중요합니다. 우리는 아프 프로토콜에 대해 이야기 할 수 있습니다 전에,우리는 조금 더 백업하고 인터넷 프로토콜 제품군에 대해 이야기 할 필요가.

인터넷 프로토콜 스위트

휴대 전화에서 웹 브라우저를 열면 밈과 고양이 사진이 거의 즉각적으로 전달되어 프로세스가 단순 해 보입니다.

휴대 전화와 고양이 사진을 호스팅하는 서버가 문자열에 두 컵처럼 연결되어있는 것처럼 보일 수 있으며,전화를 재생하는 두 아이처럼,고양이 사진은 일부 전선을 따라 이동하고 문자열을 통해 음성의 소리처럼 휴대 전화에 나타납니다. 요즘 무선 랜과 데이터의 유병률을 감안할 때,고양이 사진이 어떻게 든 에테르를 가로 질러 여행하는 것처럼 보일 수도 있습니다.

물론 그렇지 않습니다. 고양이 사진의 여행은 실제로 매우 복잡하다,최고의 인터넷 프로토콜 스위트 모델과 근사 다층 시스템을 통해 여행:

  • 응용 프로그램 계층-응용 프로그램 계층에서 당신,웹 브라우저 또는 서버 소프트웨어 모두 고양이 사진이 어떻게 전달되었는지 실제로 알고 있지 않습니다. 당신은 고양이 사진에 대한 데이터를 통해 갔다 얼마나 많은 라우터 모른다,또는 무선 연결을 통해 여행 여부. 너가 있있는 모두는 너가 연결을 누르고 고양이 그림이 너에게 왔다 고 이다.
  • 전송 계층-전송 계층과 함께,우리는 후드 조금 얻을.전송 계층은 클라이언트(휴대 전화)와 웹 사이트를 호스팅하는 서버 간의 연결을 설정하는 책임이 있습니다. 전송 계층은 연결을 주시하고 오류를 찾지만 클라이언트와 서버 간에 데이터가 어떻게 이동되는지는 상관하지 않습니다.
  • 인터넷 계층-인터넷 계층 소프트웨어는 네트워크 간의 데이터 이동을 담당합니다. 그것은 고양이 사진의 데이터에 대한 관심과 화학에 대한 전자 책에 대한 데이터를 처리하는 것과 같은 취급하지 않습니다. 일단 인터넷 층 소프트웨어가 당신의 로컬 네트워크에 고양이 그림 자료를 가져오면,연결 층 소프트웨어에 그것을 떨어져 수교한다.
  • 링크 계층-링크 계층 소프트웨어는 로컬 네트워크 내에서 들어오는 데이터와 나가는 데이터를 모두 이동합니다. 그것은 인터넷 계층 소프트웨어에서 고양이 사진에 대한 데이터를 받아 장치에 제공합니다.

위의 각 계층은 작업을 완료하기 위해 여러 가지 프로토콜을 실행할 수 있습니다. 이 시스템의 혼란은 어떻게 든 휴대 전화의 화면에 서버에서 고양이 사진을 가지고 응집력 작동합니다.

주소 확인 프로토콜이란?

주소 확인 프로토콜은 단순히 이러한 프로토콜 중 하나입니다. 링크 계층 주소(예:맥 주소)가 실제 컴퓨터의 지정된 인터넷 계층 주소와 일치하는지 확인하는 데 사용됩니다. 일반적으로 이 주소는 다음과 같습니다.

그것은 두 방향으로 작동합니다.

주어진 주소 사이의 관계는 다음과 같이 알려진 테이블에 보관됩니다. 이 패킷은 네트워크 상의 호스트로 향하는 패킷이 게이트웨이에 도달하게 되면,게이트웨이는 맥 또는 물리적 호스트 주소를 연결한다.

그런 다음 호스트는 아르프 캐시를 검색합니다. 해당 주소를 찾는 경우 주소는 형식 및 패킷 길이를 변환하는 데 사용됩니다. 올바른 주소를 찾을 수 없으면 로컬 네트워크의 다른 컴퓨터에 올바른 주소를 알고 있는지 묻는 요청 패킷을 보냅니다. 컴퓨터가 주소로 회신하는 경우 동일한 원본에서 향후 요청이 있을 경우 해당 주소로 캐시가 업데이트됩니다.

아프 중독이란?

이제 기본 프로토콜에 대해 더 많이 이해 했으므로 아프 중독을 더 깊이 다룰 수 있습니다. 이 프로토콜은 효율적으로 개발되었으며,이는 설계에서 심각한 보안 부족을 초래했습니다. 이 상대적으로 쉽게 누군가가 한 그들은 그들의 대상의 로컬 네트워크에 액세스 할 수있는,이러한 공격을 탑재 할 수 있습니다.

아프 중독은 위조 된 아프 응답 패킷을 로컬 네트워크를 통해 게이트웨이로 보내는 것을 포함합니다. 공격자는 일반적으로 작업을 쉽게 하기 위해 아프푸프 또는 아포 이슨과 같은 스푸핑 도구를 사용합니다. 이 도구는 대상 주소와 일치하도록 설정할 수 있습니다. 이 도구는 다음 호스트의 아이피 및 맥 주소에 대한 대상 랜을 검색합니다.

공격자가 호스트의 주소를 가지고 있으면 로컬 네트워크를 통해 위조된 패킷을 호스트로 보내기 시작합니다. 사기 메시지는 공격자의 맥 주소가 대상 컴퓨터의 아이피 주소에 연결되어야한다는 것을 수신자에게 알려줍니다.

이로 인해 받는 사람이 공격자의 주소로 공격 캐시를 업데이트합니다. 나중에 받는 사람이 대상과 통신하면 해당 메시지가 실제로 공격자에게 전송됩니다.

이 시점에서 공격자는 비밀리에 통신 중간에 있으며이 위치를 활용하여 트래픽을 읽고 데이터를 훔칠 수 있습니다. 공격자는 대상에 도달하기 전에 메시지를 변경하거나 통신을 완전히 중지 할 수도 있습니다.

공격자는 이 정보를 사용하여 서비스 거부 또는 세션 하이재킹과 같은 추가 공격을 탑재할 수 있습니다:

  • 서비스 거부-이러한 공격은 여러 개의 개별 아이피 주소를 대상의 맥 주소에 연결할 수 있습니다. 충분한 주소가 대상에 요청을 보내는 경우 트래픽에 의해 오버로드되어 서비스가 중단되어 사용할 수 없게 될 수 있습니다.
  • 세션 하이재킹–아프 스푸핑은 해커가 시스템 및 계정에 진입하기 위해 사용하는 세션 아이디를 도용하는 데 활용될 수 있습니다. 그들이 액세스 할 수있게되면,그들은 그들의 목표에 대한 혼란의 모든 종류를 시작할 수 있습니다.

아프 중독을 감지하는 방법

아프 중독은 여러 가지 방법으로 감지 할 수 있습니다. 당신은 윈도우 명령 프롬프트,와이어 샤크와 같은 오픈 소스 패킷 분석기,또는 다음과 같은 독점적 인 옵션을 사용할 수 있습니다.

명령 프롬프트

아프 중독 공격을 받은 것으로 의심되는 경우 명령 프롬프트를 체크 인할 수 있습니다. 먼저 관리자 권한으로 명령 프롬프트를 엽니다. 가장 쉬운 방법은 윈도우 키를 눌러 시작 메뉴를 여는 것입니다. 입력 한 후,이동과 동시에 입력합니다.

명령 프롬프트가 나타납니다. 명령줄에 다음을 입력합니다:

이 당신에게 아르프 테이블을 줄 것이다:

arp-poisoning-1

*위 이미지의 주소는 개인 정보 보호를 위해 부분적으로 검게 처리되었습니다.*

표에는 왼쪽 열에는 아이피 주소,가운데에는 맥 주소가 나와 있습니다. 만약 이 표에 동일한 맥 주소를 공유하는 두 개의 다른 아이피 주소가 포함되어 있다면,당신은 아마 아르프 중독 공격을 받고 있을 것이다.

예를 들어,아프 테이블에 여러 개의 다른 주소가 포함되어 있다고 가정해 보겠습니다. 당신이 그것을 통해 스캔 할 때,당신은 두 개의 아이피 주소가 동일한 물리적 주소를 가지고 있음을 알 수 있습니다. 실제로 중독되는 경우 다음 표에서 이와 같은 것을 볼 수 있습니다.

인터넷 주소 물리적 주소

192.168.0.1 00-17-31.192.168.0.106 00-17-31-

보시다시피 첫 번째 주소와 세 번째 주소가 모두 일치합니다. 이는 192.168.0.106 주소의 소유자가 공격자 일 가능성이 높음을 나타냅니다.이 자습서의 범위를 벗어나 프로그램 경험이 있는 사람들에게 가장 적합한 단계이지만,와이어샤크는 패킷을 분석하여 아프 중독을 탐지하는 데 사용할 수 있습니다.

다음과 같은 상업용 아프 중독 탐지기는 프로세스를 더 쉽게 만듭니다. 아르프 중독이 시작될 때 그들은 당신에게 경고를 줄 수 있습니다,이는 공격이 이전에 감지되고 손상을 최소화 할 수 있다는 것을 의미.

아프 중독 예방 방법

아프 중독을 예방하기 위해 여러 가지 방법을 사용할 수 있으며 각각 고유 한 긍정과 부정이 있습니다. 여기에는 정적 아르프 항목,암호화,가상 머신 및 패킷 스니핑이 포함됩니다.이 솔루션은 많은 관리 오버헤드를 수반하며 소규모 네트워크에만 권장됩니다. 그것은 각 개별 컴퓨터에 네트워크의 모든 컴퓨터에 대한 아르프 항목을 추가하는 것을 포함한다.

정적 주소 집합으로 컴퓨터를 매핑하면 스푸핑 공격을 방지할 수 있습니다. 불행하게도,이 솔루션은 간단한 공격으로부터 당신을 보호 할 수 있습니다.

암호화

트래픽이 암호화되면 공격자는 대상의 브라우저를 속여 불법 인증서를 수락하는 추가 단계로 이동해야 합니다. 그러나 이러한 프로토콜 외부에서 전송되는 모든 데이터는 여전히 취약합니다.

이 응용 프로그램은 인터넷 연결이 필요할 수 있으며 이후 데이터 전송 요금이 부과될 수 있습니다. 이 공격자는 암호문을 볼 수 있기 때문에,안전을 유지하는 데 도움이됩니다.

조직 수준에서는 실현 가능성이 낮은 솔루션입니다. 이것은 설정 및 유지 관리가 복잡 할뿐만 아니라 그 규모로 암호화 및 해독하면 네트워크 성능이 저하 될 수 있습니다.

패킷 필터

이러한 필터는 네트워크를 통해 전송되는 각 패킷을 분석합니다. 악성 패킷을 필터링하고 차단할 수 있습니다. 패킷 필터는 또한 패킷이 실제로 외부에서 발생했을 때 내부 네트워크에서 발생한다고 주장하는지 알 수 있으므로 공격의 성공 가능성을 줄일 수 있습니다.

아프 중독으로부터 네트워크 보호

아프 중독 위협으로부터 네트워크를 안전하게 보호하려면 위에서 언급한 예방 및 탐지 도구를 조합하는 것이 가장 좋습니다. 예방 방법은 특정 상황에서 결함을 가지고하는 경향이,그래서 심지어 가장 안전한 환경은 공격을 받고 자신을 찾을 수 있습니다.

활성 탐지 도구도 제자리에 있으면 아프 중독이 시작되는 즉시 알 수 있습니다. 네트워크 관리자가 경고를 받으면 빠르게 행동하는 한,많은 피해가 발생하기 전에 일반적으로 이러한 공격을 종료 할 수 있습니다.

관련 게시물:스푸핑 공격을 방지하는 방법

Leave a Reply

답글 남기기

이메일 주소는 공개되지 않습니다.