[네트워크 보안] ARP, RARP 프로토콜

1. ARP

 가. 설명

  □ IP 주소를 MAC 주소로 변환하는데 사용되는 프로토콜

 나. 동작방식

  1) ARP Request 메시지를 broadcasting 방식(ff:ff:ff:ff:ff:ff, 동일 로컬 네트워크에만 전송) 으로 전송

     (야! IP 가 xxx.xxx.xxx.xxx 인 놈은 응답해)

  2) 동일 로컬 네트워크 내에 해당 IP를 가진 호스트가 본인의 MAC 주소를 담은 ARP Reply 패킷을 unicast 방식으로 전송

 

2. RARP

 가. 설명

  □ MAC 주소를 IP 주수로 변환하는데 사용되는 프로토콜

 나. 필요이유

  1) 일반적으로 IP 주소는 시스템의 하드 디스크 내 설정 파일에 저장

  2) 그렇다면 하드 디스크가 없는 경우엔 IP 주소를 어떻게 받아올까 → RARP 활용

 다. 동작방식

  1) 자신의 MAC 주소를 담은 RARP Request 를 만든다

  2) 해당 요청 메시지를 broadcasting 방식으로 로컬 네트워크 내 모든 호스트에 전송

  3) 로컬 네트워크 내, RARP 서버에서 해당 IP와 매핑되는 MAC주소를 담은 RARP Reply 패킷을 unicast 방식으로 전송

 

3. ARP Cache Table

 가. 설명

  1) MAC 주소에 대한 정보를 1~2분 정도 메모리(Cache)에 저장

  2) Static : 관리자가 정적으로 ARP Cache Table 설정

  3) Dynamic : ARP 프로토콜에 의해 동적으로 ARP Cache Table 설정

 나. 관련 명령어

  1) arp -a : ARP Cache 내용 확인

  2) arp -d : ARP Cache 내용 삭제

  3) arp -s "IP 주소" "MAC 주소"

   □ ARP Cache Table Static 설정 명령어

   □ 관리자에 의해 정적으로 설정

   □ 시스템이 종료될 때까지 유지

 

4. ARP Spoofing

 가. 공격방식

  1) L2 Switch 환경에서 스니핑을 수행하고 싶다

  2) 각 공격대상 호스트를 A,B / 공격자를 C 라고 해보자

  3) "A의 IP 주소 - C의 MAC 주소" , "B의 IP 주소 - C의 MAC 주소" 조작된 ARP Reply 패킷을 지속적으로(ARP Cache Table의 내용은 1~2분만 지속되기 때문) 각각 B와 A에 전송

  4) 그러면 A의 입장에선 B의 MAC 주소를 C의 MAC 주소로 / B의 입장에선 A의 MAC주소를 C의 MAC주소로 착각

  5) C는 중간에서 메시지를 가로챈 후, IP Fowarding 기능 활성화를 통해 들키지 않고 스니핑이 가능

 나. 대응방법

  1) ARP Cache Table을 정적 구성 → ARP Reply Packet에 의해 Table이 변조되지 않음

  2) 네트워크 상, ARP Trafiic을 실시간 모니터링하는 프로그램을 이용 → IP-MAC 이 변경되면 즉시 탐지할 수 있도록 함

 

5. GARP

 가. 개념

  1) Source IP = Target IP 인 ARP Request

 나. 동작방식

  1) 잘 생각해보면 ARP Request 자체가 로컬 네트워크 내의 모든 호스트에게 전달되는 broadcasting 방식

  2) Request를 보내는 호스트(본인)의 MAC 주소가 Packet의 Sender MAC Address 필드에 담겨있을 것임

Source IP : 1	Target IP : 1
Source MAC : A	Target MAC : ?

   →  IP 가 1인 친구의 MAC주소가 뭐냐? 

  3) 즉, 동일 네트워크 내 다른 장비들의 자신과 관련된 ARP Cache Table 내용을 갱신하기 위함

   → 아.. 이 패킷을 받으면 다른 호스트들이 IP가 1인 호스트의 MAC 주소는 A 이다 라고 ARP Cache Table을 갱신한다.

 다. 필요 이유

  1) IP 충돌 확인 : 만약 본인과 동일한 IP 사용 호스트가 로컬 네트워크 내에 있으면 Reply 패킷이 올테니까 탐지 가능

  2) 일반적으로 호스트 IP 변경 혹은 재부팅시에 GARP 패킷 생성

 마. 관련 취약점

   □ 상대방을 인증하지 않고 ARP Cache Table을 갱신하게 되는 점을 악용하여 ARP Cache Table 변조 가능성 존재