ARP 스푸핑 대처법

실습환경 구성 (이미지 - debuggerworld)

 

XP

IP : 192.168.11.77

mac : 00:0c:29:8f:7e:5f

 

server

IP : 192.168.11.13

mac : 00:0c:29:a2:fb:10

 

공격자

IP : 192.168.11.19

mac : 00:0c:29:e3:d3:c0

 

 

 

 

1. mac주소 정적 등록 (공격 차단)

2. arpwatch 이용 (공격 탐지)

 

 

 

대처법 1. mac주소 정적 등록 (공격 차단)

mac주소를 정적 등록하면 위조된 arp 응답을 수신해도 mac 주소가 바뀌지 않는다.

다음 상황에서, XP와 server에 양측의 mac 주소를 정적으로 등록하면, 공격자는 arp 스푸핑에 실패한다.

 

 

 

mac 주소를 정적으로 등록한다.

# arp -s [IP주소] [mac주소]

11.13 설정

 

 

11.77 설정

 

 

ping을 주고받을 때 공격자 측으로 패킷이 흐르지 않는다.

 

11.77과 11.13 간 ping을 주고받아도

11.77과 11.13 간 ping

 

 

공격자 측으로 패킷이 흐르지 않는다. (공격자 측으로 패킷이 흐르면 패킷 릴레이 내용이 출력되어야 하는데, 릴레이하는 패킷이 없다.)

 

 

 

 

wireshark로 확인해보면, 송수신지 mac 주소가 11.13의 mac주소와 11.77의 mac 주소로 정상적으로 찍히는 것을 확인할 수 있다.

추가로, 패킷 릴레이가 수행되지 않으므로 같은 내용의 패킷이 두번씩 전달되지 않는다.

 

 

 

 

 

 

 

 

 

 

 

 

대처법 2. arpwatch 이용 (공격 탐지)

arpwatch를 이용하면 네트워크 상 IP주소, mac 주소 등의 변경을 감지할 수 있다.

 

 

공격 대상 시스템에 arpwatch를 설치한다.

# yum install -y arpwatch

 

 

메일 서버가 없다면 메일 서버도 설치한다.

# yum install -y sendmail sendmail-cf mailx

 

 

arpwatch 설정 파일을 편집한다.

# vi /etc/sysconfig/arpwatch

===========================================
...
...
OPTIONS="-u arpwatch -i ens32 -e 'hyun353500@naver.com' -s 'st07' -n '192.168.11.0/24'"

==============================================

‐u <username> :  시스템 유저
‐e <email> :  알림 메일 수신처
‐s <from> :  메일 발신자
‐n <ip>       :  감시 대상 네트워크

 

 

arpwatch.conf

 

 

 

arpwatch, sendmail 서비스를 시작한다.

# systemctl start arpwatch

# systemctl start sendmail

 

네트워크 상 주소 변경이 발생하면, 지정한 메일로 알림이 발송된다.

메일을 확인하면 arp 스푸핑 등의 비정상적인 주소 변경을 감지할 수 있다.

 

메일 발송

 

메일 본문