![[Kali Linux] ARP(Address Resolution Protocol) Spoofing 공격과 방어(2/2)](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FcPwQo5%2FbtqzCFObJRF%2F4wIGAhc60HC6gm32EApEjk%2Fimg.png)
ARP Spoofing 방어
- 지난 포스팅에서 ARP Spoofing에 공격 방법을 알아봤다면 이번 포스팅에서는 ARP Spoofing 방어 방법에 대해 알아보려고 합니다.
- ARP Spoofing 방어 방법 3가지에 대해 설명 하겠습니다.
1. ARP Cache 정적 설정
Window에서 정적으로 설정
- ARP Cache의 경우 관리자가 명령어를 사용하여 수동으로 특정 IP 주소에 대한 MAC 주소 정보를 정적으로 등록하는 것이 가능하다.
- ARP Reply를 통해서 전달받은 MAC 주소 정보보다 관리자가 정적으로 등록한 정보가 더 우선된다.
- 만약 장비를 교체하는 경우 반드시 ARP Cache 등록 정보도 수정해야 한다. (유지 보수가 어렵다.)
- netsh interface [IP Version] delete neighbors "[네트워크 이름] "[적용할 IP]" "[적용할 IP의 MAC 주소]" 명령어로 삭제가 가능하다.
1. 명령어를 사용해 ARP를 수동으로 지정
- ARP를 정적으로 설정하기 위해서는 cmd창을 관리자 권한으로 실행해야 한다.
- netsh interface [IP Version] add neighbors "[네트워크 이름] "[적용할 IP]" "[적용할 IP의 MAC 주소]" 명령어로 설정하면 된다.
2. 정적 설정으로 변경확인
- ARP Table을 확인해 보면 정적으로 설정한 IP 주소와 이에 대응하는 MAC주소가 입력되 있고 유형이 정적으로 설정된 것을 확인할 수 있다.
Attacker PC(Kali Linux)에서 ARP 설정 확인
- 클라이언트에서 ARP를 정적으로 설정했기 때문에 duplicaton use of 10.1.10.4(Client IP)detected! 글씨로 ARP가 차단된 것을 확인할 수 있다.
2. End Device에 ARP Spoofing 공격 탐지 툴 설치
- XArp, ARPWatch와 같은 툴을 사용하여 ARP Spoofing 공격의 발생 여부를 파악하는 것이 가능하다.
- 해당 Tool들은 기존 ARP Cache 정보를 기억하고 있다가 해당 정보가 변경되는 경우 경고 메시지를 발생시킨다. (공격 확인은 관리자가 직접 해야 한다.)
Client PC(Window)에서 XArp 보안 설정
1. Window에 XArp 설치
- http://www.xarp.net/#download 로 접속한 후 xArp를 다운로드한다.
www.xarp.net
2. Window에 XArp를 설치과정
- XArp 설치 과정을 동영상으로 녹화 하였다.
3. Window에서 탐지 결과 확인
- Kali Linux에서 공격을 실행한 후 Window에서 탐지를 시작하면 아래와 같이 오류 메시지를 출력한다.
- 10.1.10.4로 367개의 ARP Spoofing 공격이 실행되고 있다는 것을 확인할 수 있다.
3. 보안 스위치에서 ARP Spoofing 공격 방어 기능을 사용 (ex. DAI)
- 보안 기능이 Cisco 스위치의 경우 DHCP Snooping과 DAI(Dynamic ARP Inspection) 기능을 같이 구성하는 경우 ARP Spoofing 공격에 대한 능동적인 방어가 가능하다.
DAI (Dynamic ARP Inspection)
- DAI는 스위치에서 ARP Spoofing 공격을 차단할 수 있는 기술이다.
- 해당 스위치에 DHCP Snooping 기능이 활성화 되어 있는 경우에만 사용이 가능하다. (DAI는 DHCP Snooping Binding Table 기반으로 작동한다.)
- DAI가 설정된 스위치는 ARP 패킷을 수신 시 해당 ARP 패킷을 발생시킨 장비의 MAC 주소 및 IP 주소를 DHCP Snooping Binding Table에 등록된 정보와 비교하여 이상이 없는 경우에만 전송한다.
Switch 설정
- e 0/3, e 1/0, e 3/3 포트를 제외한 나머지 포트들을 모두 검사한다.
|
conf t ip arp inspection vlan 1 int range e 0/3, e 1/0, e 3/3 ip arp inspection trust |
'Hacking & Security > Kali Linux' 카테고리의 다른 글
| [Kali Linux] DHCP(Dynamic Host Configuration Protocol) 공격과 방어(2/2) (0) | 2019.11.07 |
|---|---|
| [Kali Linux] DHCP(Dynamic Host Configuration Protocol) 공격과 방어(1/2) (0) | 2019.11.07 |
| [Kali Linux] ARP(Address Resolution Protocol) Spoofing 공격과 방어(1/2) (0) | 2019.11.06 |
| [Kali Linux] DNS(Domain name Service) Spoofing 공격 (0) | 2019.11.06 |
| [Kali Linux] macof 공격 (0) | 2019.11.05 |
공부&일상 블로그
포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요! 질문은 언제나 환영입니다😊
![[Kali Linux] DHCP(Dynamic Host Configuration Protocol) 공격과 방어(2/2)](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fc5fKHD%2FbtqzAN7Iywh%2FSy4fNTo14LC9CzTbnenkKk%2Fimg.png)
![[Kali Linux] DHCP(Dynamic Host Configuration Protocol) 공격과 방어(1/2)](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fbfdbnx%2FbtqzAifQaOX%2FarGbbCSdpWtEIH91fF0xwk%2Fimg.png)
![[Kali Linux] ARP(Address Resolution Protocol) Spoofing 공격과 방어(1/2)](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FcrAILy%2FbtqzBUE2iNf%2FuihbloTndkoK94ZZaFu9ck%2Fimg.png)
![[Kali Linux] DNS(Domain name Service) Spoofing 공격](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbiOzPE%2FbtqzAOr0gBQ%2FAKaB8kyQvz1ui1T88HAY4K%2Fimg.png)