ARP Spoofing

- Client IP 주소를 가지고 MAC 주소를 찾아내는 방법

- ARP Request : ARP 테이블에 IP 주소가 없다면 브로드캐스트를 통해 IP 주소를 알아내 MAC 주소 요청

- ARP Response : Request를 수신한 Client는 IP 주소가 자신의 IP 주소일 경우 MAC 주소 응답

- ARP 테이블은 최근 Response 업데이트(인증 없음, 취약점)

- LAN에서 온라인으로 확인되지 않으면 ARP 테이블에서 삭제(주기적으로 Spoofing Packet을 보내야 함)

- Linux/Windows는 120초 혹은 이상이지만 40초가 가장 적당

- Client ARP 테이블 위조

- 패킷 분석을 통해 ARP Storm이 있는지 확인

- IP 주소와 MAC 주소를 매핑하여 리스트를 가지고 있어 변조 여부를 확인(ARP Watch)

- ARP 테이블을 수동으로 작성하여 운영

티스토리툴바