ARP 스푸핑이란?
기본적으로 ARP는 IP를 MAC으로 변환하는 프로토콜이다.
예시
IP 192.168.1.20 에게 MAC 주소 물어봄 > 192.168.1.20의 컴퓨터가 자신의 MAC주소를 응답
그러나 ARP는 누가 응답했는지 검증하지 않는다
따라서 중간에 누군가가 다른 MAC 주소를 보내줘도 맞는지 인증하지 않고 그냥 저장하는데
예시
IP 192.168.1.20 에게 MAC 주소 물어봄 > 물어보러 요청 패킷이 전송중에 공격자가 패킷을 가로채고 자신의 MAC 주소를 보내줌 > 요청한 서버는 IP 192.168.1.20의 MAC주소를 공격자의 MAC 주소로 인식
따라서 공격자가 192.168.1.20에게 전송되는 모든 트래픽을 가로챌 수 있다.
MITM (Man In THe Middle) 두 당사자 간의 통신을 몰래 가로채거나 변조하는 공격방식
MITM(중간자 공격) 스푸핑(Spoofing)
| 개념 | 공격자가 클라이언트와 서버 사이에서 트래픽을 가로채거나 변조하는 공격 | 공격자가 신뢰받는 대상처럼 속여서 잘못된 정보를 제공하는 공격 |
| 공격 목표 | 트래픽 감청/변조, 세션 하이재킹, 데이터 탈취 | 신뢰 관계를 속여서 피해자를 조작하거나, 네트워크를 장악 |
| 공격 방식 | 공격자가 두 당사자(클라이언트-서버) 사이에서 패킷을 가로채고, 중간에서 변조 가능 | 공격자가 자신을 라우터, 서버, DNS, IP, MAC 주소 등으로 속여 피해자를 속임 |
| 대표적인 공격 기법 | 프록시 기반 공격 (Burp Suite, mitmproxy), ARP 스푸핑을 통한 MITM, DNS 스푸핑, SSL Stripping | ARP 스푸핑, IP 스푸핑, 이메일 스푸핑, 웹사이트 스푸핑 |
| 공격 후 피해자 상태 | 피해자는 자신이 공격당하는지 모른 채 정상적으로 사용 가능 (트래픽이 변조되었을 수도 있음) | 피해자는 공격자를 신뢰하고 잘못된 정보에 속을 가능성이 높음 |
둘이 비슷하지만 살짝 다른 느낌인듯하다
OSI 7계층
물리 계층
전기적 신호가 나가는 물리적인 장비
이 계층에서는 단지 데이터를 전달할 뿐 데이터가 무엇인지, 어떤 에러가 있는지 등에 대해서 신경쓰지 않고 단지 데이터를 전기적인 신호로 변환해서 주고받는다
전송단위 : bit
ex) 리피터, 허브
2. 데이터 링크 계층
물리계층을 통해 송수신되는 정보의 오류와 흐름을 관리하여 안전한 정보의 전달을 수행할 수 있도록 도와주는 역할. 따라서 통신에서의 오류도 찾아주고 재전송도 하는 기능을 가지고 있다.
맥(물리) 주소를 가지고 통신, 오류 감지 및 흐름 제어, 네트워크 장치 간 신뢰성 있는 데이터 전송
ex) 스위치 브리지
3. 네트워크 계층
경로(라우터)와 주소(IP)를 정하고 패킷을 전달해 주는 역할
목적지까지 가장 안전하고 빠르게 데이터를 보내는 기능 따라서 최적의 경로를 설정해야한다
전송단위 : 패킷
ex) 라우터, L3스위치, IP, ARP/RARP, 라우팅 프로토콜(RIP, OSPF, BGP)
4. 전송 계층
양 끝단의 사용자들 간의 신뢰성있는 데이터를 주고 받게 해주는 역할을 한다.
송싱자와 수신자 간의 신뢰정있고 효율적인 데이터를 전송하기 위하여 오류검출 및 복구, 흐름제어와 중복검사 등을 수행한다.
데이터 전송을 위해서 Port번호가 사용이 된다.
ex)TCP, UDP
전송단위 : 세그먼트
5. 세션 계층
응용 프로세스가 통신을 관리하기 위한 방법을 정의한다.
이 계층은 TCP/IP 세션을 만들고 없애는 역할을 한다.
6. 표현 계층
전송하는 데이터 표현방식을 결정한다.(예 : 데이터 변환, 압축, 암호화)
7. 응용 계층
사용자와 가장 가까운 계층
응용 서비스나 프로세스가 바로 응용계층에서 동작
ex)HTTP, FTP 프로토콜 등