ARP 스푸핑 작동 방식

tcp/ip 프로토콜을 탑재한 모든 컴퓨터에는 ARP 캐시 테이블이 있습니다. 테이블의 IP 주소와 MAC 주소는 그림과 같이 1:1 대응입니다.

호스트 A(192.168.1.5)가 호스트 B(192.168.1.1)로 데이터를 보내는 것을 예로 들어보겠습니다. 데이터를 보낼 때 호스트 A는 ARP 캐시 테이블에서 대상 IP 주소를 찾습니다. 발견되면 대상의 mac 주소도 알 수 있습니다. ARP 캐시 테이블에 대상 IP 주소가 없으면 호스트 A는 네트워크에서 브로드캐스트를 보냅니다. . , 대상 mac 주소는 "ff-ff-ff-ff-ff-ff"입니다. 이는 동일한 네트워크 세그먼트의 모든 호스트에 "192.168.1.1의 mac 주소는 무엇입니까?"라는 쿼리를 보내는 것을 의미합니다. 네트워크의 호스트 B만이 이 프레임을 수신할 때 A에 응답합니다. "192.168.1.1의 mac 주소는 00-aa-0-62-c6-09입니다. (위 표에 표시된 대로) )" 이런 식으로 호스트 A는 이제 호스트 B의 mac 주소를 알았으니 호스트 B로 정보를 보낼 수 있습니다. 동시에 자체 ARP 캐시 테이블도 업데이트하여 다음에 B에 데이터를 보낼 때 ARP 캐시 테이블에서 직접 검색할 수 있습니다. ARP 캐시 테이블은 에이징 메커니즘을 채택합니다. 테이블의 행이 일정 기간 동안 사용되지 않으면 삭제됩니다. 이렇게 하면 ARP 캐시 테이블의 길이가 크게 줄어들고 쿼리 속도가 향상됩니다. ARP 캐시 테이블을 보고, 추가하고, 수정할 수 있습니다. arp 캐시 테이블의 내용을 보려면 명령 프롬프트에서 "arp -a"를 입력합니다.

arp 캐시 테이블의 모든 내용을 삭제하려면 "arp -d"를 사용하세요.

arp 테이블의 IP 주소와 MAC 주소 간의 해당 관계를 수동으로 설정하려면 "arp -s"를 사용하세요.