TLDR ARP 중독은 테이블의 IP dst를 변경하지 않는데 다른 IP 주소에서 MAC를 스푸핑하는 것이 트래픽을 리디렉션하는 데 도움이 되는 이유는 무엇입니까?
내가 찾은 모든 비디오에서는 ARP 중독의 목표가 원치 않는 메시지를 보내 호스트 및 라우터의 ARP 테이블을 '덮어쓰기'하여 MitM 공격자의 MAC 주소가 두 가지 모두와 연결되어 다음과 같이 보이도록 하는 것이라고 설명합니다.
피해자: aa:bb:cc:dd:ee:ff (192.168.1.100) 라우터: aa:bb:cc:dd:ee:ff (192.168.1.1) MitM 시스템: aa:bb:cc:dd:ee:ff (192.168.1.199)
이러한 방식으로 둘 다 중간자(Man in the Middle)에게 전송하게 되며, 중간자(Man in the Middle)는 실제로 다른 MAC 주소를 가지고 있는 엔드포인트 192.168.1.199 및 192.168.1.1로 전달됩니다.
...내 질문은 그것이 어떻게 작동하는가입니다. 이러한 장치를 속여 잘못된 MAC을 올바른 IP와 연결하도록 하는 경우 트래픽이 실제로 어떻게 다시 라우팅됩니까? 내 말은 내가 보는 방법은 다음과 같다는 것이다.
피해자 > 192.168.1.1의 라우터로 보내는 패킷 > 라우터에 도착하여 패킷을 열어 MAC이 잘못되었음을 확인합니까?
답변1
IP 주소가 잘못된 경우 ARP Poisoning은 어떻게 작동하나요?
이는 일반적으로 ARP 스푸핑이라고 부르지만 APR(ARP 포이즌 라우팅) 또는 ARP 캐시 포이즈닝이라고도 합니다.
ARP 중독은 테이블의 IP 대상을 변경하지 않습니다. 그런데 다른 IP 주소에서 MAC를 스푸핑하는 것이 트래픽을 리디렉션하는 데 도움이 되는 이유는 무엇입니까?
허브, 스위치 및 라우터의 LAN 측은 이더넷 데이터 프레임에 포함된 MAC 주소를 사용하여 데이터를 라우팅합니다.
공격 중에 피해자의 IP 주소에 대한 ARP 테이블 항목에는 공격자의 MAC 주소가 포함됩니다.
데이터가 피해자의 IP 주소로 전송되거나 피해자의 IP 주소에서 전송되면 공격자의 MAC 주소로 라우팅됩니다.
ARP 중독의 목표는 MitM 공격자의 MAC 주소가 두 가지 모두에 연결되도록 호스트 및 라우터의 ARP 테이블을 '덮어쓰는' 원치 않는 메시지를 보내는 것입니다.
아니요, 이는 정확하지 않습니다.
- 피해자의 IP 주소에 대한 ARP 테이블 항목에는 공격자의 MAC 주소가 포함됩니다.
- 라우터 IP에 대한 ARP 테이블 항목은 변경되지 않습니다.
- 공격자는 피해자의 IP 주소에서 라우터로 트래픽을 전달하도록 선택할 수 있지만 반드시 그럴 필요는 없습니다.
보다다음에 무슨 일이 일어날까요?자세한 내용은 아래를 참조하세요.
ARP 스푸핑이란 무엇입니까?
ARP 스푸핑은 악의적인 행위자가 근거리 통신망을 통해 위조된 ARP(주소 확인 프로토콜) 메시지를 보내는 공격 유형입니다. 이로 인해 공격자의 MAC 주소가 네트워크에 있는 합법적인 컴퓨터나 서버의 IP 주소와 연결됩니다.
공격자의 MAC 주소가 실제 IP 주소에 연결되면 공격자는 해당 IP 주소를 대상으로 하는 모든 데이터를 수신하기 시작합니다.
ARP 스푸핑을 사용하면 악의적인 당사자가 전송 중인 데이터를 가로채거나 수정하거나 심지어 중지할 수도 있습니다. ARP 스푸핑 공격은 주소 확인 프로토콜을 활용하는 근거리 통신망에서만 발생할 수 있습니다.
소스 베라코드ARP 스푸핑
어떻게 작동하나요?
ARP 스푸핑 공격은 일반적으로 비슷한 진행을 따릅니다. ARP 스푸핑 공격의 단계는 일반적으로 다음과 같습니다.
공격자는 ARP 스푸핑 도구를 열고 도구의 IP 주소를 대상의 IP 서브넷과 일치하도록 설정합니다. 널리 사용되는 ARP 스푸핑 소프트웨어의 예로는 Arpspoof, Cain & Abel, Arpoison 및 Ettercap이 있습니다.
공격자는 ARP 스푸핑 도구를 사용하여 대상 서브넷에 있는 호스트의 IP 및 MAC 주소를 검색합니다.
공격자는 대상을 선택하고 공격자의 MAC 주소와 대상의 IP 주소가 포함된 ARP 패킷을 LAN을 통해 보내기 시작합니다.
LAN의 다른 호스트는 스푸핑된 ARP 패킷을 캐시하므로 해당 호스트가 피해자에게 보내는 데이터는 대신 공격자에게 전달됩니다. 여기에서 공격자는 데이터를 훔치거나 보다 정교한 후속 공격을 시작할 수 있습니다.
소스 베라코드ARP 스푸핑
다음에는 어떻게 되나요?
공격자는 발견을 피하기 위해 실제 기본 게이트웨이로 트래픽을 전달하는 동안 패킷을 검사(스파이)하거나, 전달하기 전에 데이터를 수정하거나(중간자 공격), 서비스 거부를 시작할 수 있습니다. 네트워크의 패킷 중 일부 또는 전부를 삭제하여 공격합니다.
소스 위키피디아ARP 스푸핑
추가 읽기
답변2
예를 들어, 스위치로 연결된 LAN에서 스위치는 네트워크 계층(OSI의 계층 3)까지 패킷 캡슐화를 해제하지 않습니다. CAM 테이블의 MAC만 확인하고 적절한 포트로 패킷을 전달합니다. 이것이 특히 스위치의 CAM 테이블이 이미 채워져 있을 때 IP가 확인되지 않는 이유입니다.
답변3
링크 계층 네트워크에서 패킷이 전송되면 공격자의 MAC 주소로 전송되므로 패킷을 얻는 사람은 의도한 수신자가 아니라 공격자입니다.
링크 계층 네트워크를 지정하여 이를 좀 더 구체적으로 만들어 보겠습니다. 이더넷을 예로 들어보겠습니다. 이더넷 NIC는 자신의 (이더넷) 레이어에 대해서만 알고 있습니다. 그들은 IP가 무엇인지 모르기 때문에 이러한 패킷이 IP 계층에서 어떻게 처리될 수 있는지 전혀 모릅니다. 그것은 모두 이더넷 NIC에 대한 불투명 페이로드 바이트입니다. 송신 NIC는 aa:bb:cc:dd:ee:ff에 대한 프레임이 전달되었다는 것만 알고 있으므로 해당 대상 주소를 여기에 넣고 전송합니다. 공격자의 NIC만이 aa:bb:cc:dd:ee:ff로 주소가 지정된 프레임을 보도록 프로그래밍되어 있으므로 공격자의 NIC만이 프레임을 호스트의 OS 네트워크 스택으로 전달하여 수신합니다.