Network

ARP 헤더, 스푸핑

SambaLim 2019. 2. 23. 01:15
ARP 헤더, 스푸핑

Address Resolution Protocol (ARP)는 네트워크 상에서 논리적인 IP 주소를 물리적인 MAC 주소로 바꾸어주는 역할을 하는 프로토콜이다.

2계층에서 물리적 주소를 사용하여 통신하는 경우 목적지 주소를 알아와 Encapsulation을 완성하기 위한 목적으로 쓴다.

 

ARP Header

1. Hardware Type

네트워크 유형을 정의하며, Ethernet 환경의 경우 0x0001으로 세팅한다.

2. Protocol Type

프로토콜을 정의하며, IPv4의 경우, 0x0800으로 세팅한다.

3. Hardware Lenth

MAC주소의 길이를 정의하며 Ethernet 환경의 경우 6 byte 새탕

4, Protocol Lenth

프로토콜의 길이를 정의하며, IPv4의 경우 4 byte 세팅

5. Operation

패킷의 유형이며, ARP 요청(ARP Request)의 경우 1. ARP 응답 2. 세팅

6. Sender Hardware Address

발신자의 MAC주소 세팅

7. Sender Protocol Address

발신자 IP 주소 세팅

8. Target Hardware Address

목적지 MAC 주소, 그러나 ARP Request의 경우 알 수 없음

9. Target Protocol Address

목적지 IP 주소 세팅

 

ARP Spoofing(ARP 스푸핑)

ARP 정보는 누가 보냈는지 검증할 수 있는 수단이 없다. 따라서 같은 네트워크 상에 있는 사용자가 변조된 정보를 보낼 경우 그 정보를 받은 사용자는 잘못된 주소로 패킷을 보내게 된다. 이를 이용한 공격에는 ARP 스푸핑이 있다.

흔히 게이트웨이 IP를 스푸핑하는 방식으로 공격하는데, 이 경우 외부로 전송되는 모든 패킷이 공격자에 의해 가로채거나 변조될 수 있다. 또는, 두 노드에 각각 ARP 스푸핑을 하여 두 장비의 통신을 중간에서 조작하는 기법도 자주 사용된다.