본문 바로가기

Computer Engineering/Network

[POC2011] ARP Spoofing 관련 Study #2

= ARP Spoofing 에 대한 이해 =

먼저 ARP Spoofing 에 대해서 알기이전에 ARP 에 대해 알아보자.

ARP (Address Resolution Protocol) ; 주소결정 프로토콜 

ARP는 IP 네트웍 상에서 IP 주소를 물리적 네트웍 주소로 대응시키기 위해 사용되는 프로토콜이다. 여기서 물리적 네트웍 주소라 함은 이더넷 또는 토큰링의 48 bits 네트웍 카드 주소를 의미한다.

예를 들어, IP 호스트 A가 IP 호스트 B에게 IP 패킷을 전송고자 할 때 IP 호스트 B의 물리적 네트웍 주소를 모르는 경우, ARP 프로토콜을 사용하여 목적지 IP 주소 B와 브로드캐스팅 물리적 네트웍 주소 FFFFFFFFFFFF를 가지는 ARP 패킷을 네트웍 상에 전송한다. IP호스트 B는 자신의 IP 주소가 목적지에 있는 ARP 패킷을 수신하면 자신의 물리적 네트웍 주소를 A에게 응답한다.

이와 같은 방식으로 수집된 IP 주소와 이에 해당하는 물리적 네트웍 주소 정보는 각 IP 호스트의 ARP 캐시라 불리는 메모리에 테이블 형태로 저장된 후 다음 패킷 전송시에 다시 사용된다. ARP와는 역으로, IP 호스트가 자신의 물리 네트웍 주소는 알지만 IP 주소를 모르는 경우, 서버로부터 IP주소를 요청하기 위해서는 RARP를 사용한다.

NSIS : 
http://www.sis.pe.kr/1661 

ARP Spoofing 공격에 대응하기 : http://blog.tinywolf.com/156 

AhnLab 대응팀 블로그 : 
http://core.ahnlab.com/tag/arp%20spoofing 

개인블로그 (악성코드 관련) : 
http://siezka.tistory.com/entry/ARP-Spoofing

사고는 누가치고 뒷감당은 백신회사가? : 
http://moonslab.com/1129