ARP 란 무엇이며 원리는 무엇입니까?

작동 방식

[ARP]

ARP

TCP/IP 프로토콜이 설치된 각 컴퓨터에는 ARP 캐시 테이블이 있습니다

[ARP 작동 방식 ]

ARP 작동 방식

호스트 A(192.168.1.5) 에서 호스트 B(192.168.1.1) 로 데이터를 전송하는 경우를 예로 들 수 있습니다. 데이터를 전송할 때 호스트 a 는 자체 ARP 캐시 테이블에서 대상 IP 주소가 있는지 확인합니다. 찾으면 대상 MAC 주소를 알고 대상 MAC 주소를 프레임에 직접 쓰면 됩니다. ARP 캐시 테이블에서 타겟 IP 주소를 찾을 수 없는 경우 호스트 a 는 "호스트 a 의 MAC 주소" 라는 호스트 MAC 주소로 네트워크에서 브로드캐스팅을 보냅니다. 즉, 동일한 네트워크 세그먼트 내의 모든 호스트에 "나는 192.168.1.5 이고 내 하드웨어 주소는" 호스트 a 의 MAC 주소 "입니다 네트워크의 다른 호스트는 ARP 문의에 응답하지 않습니다. 호스트 B 가 이 프레임을 수신할 때만 호스트 A 에 "192.168.1.1 의 MAC 주소는 -aa--62-c6-9" 라고 응답합니다. 이렇게 하면 호스트 A 가 호스트 B 의 MAC 주소를 알고 호스트 B 에 정보를 보낼 수 있습니다. A 와 B 는 동시에 자신의 ARP 캐시 테이블을 업데이트했습니다 (A 가 문의할 때 자신의 IP 와 MAC 주소를 함께 B 에게 알려주기 때문). 다음에 A 가 호스트 B 나 B 에 정보를 다시 보낼 때 해당 ARP 캐시 테이블에서 직접 찾아보면 됩니다. ARP 캐시 테이블은 에이징 메커니즘 (즉, 생존 시간 TTL 설정) 을 사용하며 일정 기간 (보통 15 ~ 2 분) 동안 테이블의 행이 사용되지 않으면 삭제되어 ARP 캐시 테이블의 길이를 크게 줄이고 쿼리 속도를 높일 수 있습니다.

ARP 공격은 IP 주소와 MAC 주소를 위조하여 ARP 스푸핑을 수행하는 것으로, 네트워크에서 대량의 ARP 트래픽을 생성하여 네트워크를 차단할 수 있으며, 공격자는 위조된 ARP 응답 패킷을 계속 전송하기만 하면 대상 호스트 ARP 캐시의 IP-MAC 항목을 변경할 수 있어 네트워크 중단이나 중매인 공격이 발생할 수 있습니다.

ARP 공격은 주로 LAN 네트워크에 존재합니다. LAN 에서 한 사람이 ARP 트로이 목마에 감염되면 ARP 트로이 목마에 감염된 시스템은 "ARP 스푸핑" 수단을 통해 네트워크 내 다른 컴퓨터의 통신 정보를 가로채려고 시도하므로 네트워크 내 다른 컴퓨터의 통신 오류가 발생합니다.

RARP 작동 방식:

1. 송신 호스트는 자신의 MAC 주소를 선언하고 요청을 받은 모든 RARP 서버에 IP 주소를 할당하도록 요청하는 로컬 RARP 브로드캐스트를 보냅니다.

2. 로컬 네트워크 세그먼트의 RARP 서버가 이 요청을 받으면 해당 RARP 목록을 확인하여 해당 MAC 주소에 해당하는 IP 주소를 찾습니다.

3. 있는 경우 RARP 서버는 소스 호스트에 응답 패킷을 보내고 이 IP 주소를 다른 호스트에 제공합니다.

4. 존재하지 않을 경우 RARP 서버는 이에 대해 아무런 응답도 하지 않습니다.

5. 소스 호스트는 RARP 서버로부터 응답 정보를 수신하여 생성된 IP 주소로 통신합니다. RARP 서버의 응답 정보를 계속 받지 못하면 초기화에 실패한 것입니다.

6. 1-3 에서 ARP 바이러스에 의해 공격당하면 서버의 반응이 점유되고 소스 호스트도 RARP 서버의 응답 정보를 얻을 수 없습니다. 이때 서버가 응답하지 않는 것이 아니라 서버가 반환한 소스 호스트의 IP 가 점유됩니다.