ARP 침입은 무슨 뜻인가요?

중국어 설명: (RFC-826) 주소 확인 프로토콜

LAN 에서 네트워크에서 실제로 전송되는 것은 대상 호스트의 MAC 주소가 포함된 "프레임" 입니다. 주소 확인이란 호스트가 프레임을 보내기 전에 대상 IP 주소를 대상 MAC 주소로 변환하는 프로세스입니다. ARP 프로토콜의 기본 기능은 대상 장치의 IP 주소를 통해 대상 장치의 MAC 주소를 쿼리하여 원활한 통신을 보장하는 것입니다.

주: 간단히 말해서 ARP 프로토콜은 LAN 의 32 비트 IP 주소를 해당 48 비트 물리적 주소, 즉 네트워크 카드의 MAC 주소로 변환하는 역할을 합니다 (예: IP 주소는192.168.0./KLLOC) 전체 변환 프로세스는 호스트가 먼저 IP 주소 정보가 포함된 브로드캐스트 패킷, 즉 ARP 요청을 대상 호스트에 보낸 다음 대상 호스트가 IP 주소와 MAC 주소가 포함된 패킷을 호스트에 보내면 두 호스트가 MAC 주소를 통해 데이터를 전송할 수 있습니다.

응용 프로그램: 이더넷 카드가 있는 컴퓨터에는 전용 ARP 캐시가 있으며 IP 주소와 확인된 MAC 주소를 저장하는 테이블이 하나 이상 포함되어 있습니다. Windows 에서 ARP 캐시의 정보를 보거나 수정하려면 ARP 명령을 사용할 수 있습니다. 예를 들어 Windows XP 의 명령 프롬프트 창에 "ARP -a" 또는 "ARP -g" 를 입력하여 ARP 캐시의 내용을 볼 수 있습니다. 지정된 IPaddress 항목을 삭제하려면 ARP -d IPaddress 를 입력합니다 (IP 주소는 IP 주소를 나타냄). Arp 명령의 다른 사용법을 입력할 수 있습니다. 먼저 이더넷의 호스트 통신은 MAC 주소로 대상을 결정한다는 것을 알아야 합니다. "주소 확인 프로토콜" 이라고도 하는 ARP 프로토콜은 컴퓨터에 연결할 대상의 주소를 알리는 역할을 합니다. 여기서 말하는 주소는 이더넷의 MAC 주소입니다. 간단히 말해 IP 주소를 통해 대상 호스트의 MAC 주소를 쿼리하는 것입니다. 이 링크에 문제가 생기면 대상 호스트와 정상적으로 통신할 수 없으며 전체 네트워크가 마비될 수도 있습니다.

ARP 공격은 주로 다음과 같은 방법으로 이루어집니다.

간단한 스푸핑 공격

이것은 흔한 공격이다. 위조된 ARP 메시지를 전송하여 라우터와 대상 호스트를 속여 대상 호스트가 합법적인 호스트라고 생각하게 하여 사기를 완료합니다. 이 스푸핑은 라우터가 해당 세그먼트의 패킷을 전달하지 않기 때문에 동일한 네트워크 세그먼트에서 자주 발생합니다. 물론 공격은 다른 네트워크 세그먼트에 구현되므로 ICMP 프로토콜을 통해 라우터에 경로를 다시 선택해야 합니다.

2. 스위칭 환경에서 스니핑

원래의 작은 LAN 에서, 우리는 HUB 를 이용하여 서로 연결한다, 이것은 일종의 방송 방식이다. 각 패킷은 네트워크의 각 호스트를 통과하며, 소프트웨어를 사용하여 전체 LAN 의 데이터를 스니핑할 수 있습니다. 오늘날의 네트워크는 대부분 스위칭 환경이며, 네트워크의 데이터 전송은 특정 대상에 잠겨 있습니다. 대상 통신 호스트가 확인되었습니다. ARP 스푸핑에 기초하여, 우리는 우리 자신의 호스트를 위조하여 중간 전달소로 삼아 두 호스트 간의 통신을 수신할 수 있다.

셋. MAC 플러드

이는 스위치의 ARP 테이블을 넘칠 수 있는 위험한 공격이며 전체 네트워크가 제대로 통신하지 못하게 합니다.

넷. ARP 기반 서비스 거부

이것은 서비스 거부 공격이라고도 하는 새로운 공격 방식이다. 다수의 접속 요청이 하나의 호스트로 전송되면 호스트의 처리 능력이 제한되어 일반 사용자에게 서비스를 제공할 수 없어 서비스 거부가 발생합니다. 이 과정에서 ARP 를 사용하여 자신을 숨기면 공격받는 호스트의 로그에는 실제 IP 공격이나 호스트에 영향을 주지 않습니다.

보호 방법:

1.IP+MAC 액세스 제어.

Ip 또는 MAC 에만 의존하여 신뢰 관계를 구축하는 것은 안전하지 않습니다. 이상적인 보안 관계는 IP+MAC 를 기반으로 합니다. 이것이 캠퍼스 웹 서핑을 할 때 IP 와 MAC 를 바인딩해야 하는 이유 중 하나입니다.

2. 정적 ARP 캐시 테이블.

각 호스트에는 IP-MAC 을 임시로 저장하는 테이블이 있습니다. ARP 공격은 이 캐시를 변경함으로써 속인다. 올바른 MAC 를 정적 ARP 에 바인딩하는 것이 효과적인 방법입니다. 명령줄에서 ARP -a 를 사용하여 현재 ARP 캐시 테이블을 볼 수 있습니다. 다음은 네이티브 ARP 테이블입니다.

C: \ documents and settings \ cnqing > Arp -a

인터페이스: 인터페이스 0x 1000003 의 210.31..197.81

인터넷 주소 물리적 주소 유형

210.31.197.9400-03-6b-7f-ed-02 동적

여기서 "동적" 은 동적 캐시를 나타냅니다. 즉, 관련 ARP 메시지가 수신되면 항목이 수정됩니다. 잘못된 게이트웨이를 포함하는 잘못된 ARP 패킷인 경우 이 테이블이 자동으로 변경됩니다. 이렇게 하면 올바른 게이트웨이 MAC 를 찾을 수 없고 다른 호스트와 정상적으로 통신할 수 없습니다. 정적 테이블은 ARP -S IP MAC 에 의해 작성됩니다.

ARP-S210.31.197.9400-03-6b-7f-ed-02 를 완료합니다

C: \ documents and settings \ cnqing > Arp -a

인터페이스: 인터페이스 0x 1000003 의 210.31..197.81

인터넷 주소 물리적 주소 유형

210.31..197.94

이제 "유형" 항목이 "정적" 이 되고 정적 유형이 됩니다. 이 상태에서는 ARP 패킷을 수신할 때 로컬 캐시가 변경되지 않으므로 ARP 공격을 효과적으로 방지할 수 있습니다. 정적 ARP 항목은 재부팅할 때마다 사라지므로 재설정해야 합니다.

3.ARP 캐시 시간 초과 설정

일반적으로 ARP 캐시의 항목은 시간 초과 값을 설정해야 합니다. 이 시간 초과 값을 줄이면 ARP 테이블 오버플로를 효과적으로 방지할 수 있습니다.

4. 사전 질문

정상적인 순간에 IP 와 MAC 에 해당하는 데이터베이스를 만들고, 현재 IP 와 MAC 의 대응 관계가 정상인지 정기적으로 확인하고, 스위치의 트래픽 목록을 정기적으로 보고 패킷 손실률을 확인합니다.

요약: ARP 는 이 지역에서 많은 피해를 줄일 수 없으며, 일단 함께 사용하면 그 위험성은 헤아릴 수 없다. ARP 자체의 문제로 인해 ARP 공격을 방지하는 것은 매우 어렵다. 네트워크 관리자에게는 현재 네트워크 상태를 확인하고 트래픽을 모니터링하는 것이 좋습니다.