안녕하세요.
이호스트데이터센터 IDC컨설턴트 지게꾼입니다.
요즘 메르스 얘기가 주춤하면서 공공장소 출입을 고민하셨던 분들이 이제 모이는 듯 합니다. 놀이공원, 백화점등이 한산했었는데..저번 주말에 애기데리고 나갔더니 아우~~ 인파가...ㅠ.ㅠ
그래도 공식적인 종료가 나오기까지 메르스 조심하시고 항상 손잘씻고 다닙시다..^^
오늘은 ARP스푸핑에 대해서 설명하고, 이에 대한 증상 및 대응방안에 대해서 설명도록 하겠습니다. 해당 내용은 한국인터넷진흥원 자료 발췌임을 밝혀드립니다.
1. ARP 스푸핑 공격 개요
ARP Spoofing 공격은 로컬 네트워크(LAN)에서 사용하는 ARP 프로토콜의허점을 이용하여 자신의 MAC(Media Access Control) 주소를 다른 컴퓨터의MAC인 것처럼 속이는 공격이며, ARP Cache 정보를 임의로 바꾼다고 하여
“ARP Cache Poisoning 공격”이라고도 한다.
이러한 ARP Cashe 정보를 임의로 변경하여, 패킷 도청(Sniffing)을 수행하거나, 가로챈 패킷을 변조 후 전송하는 방식으로 악용된다. 한 서버가 아무리 안전하게 구축되어 해킹당할 염려가 없다고 하더라도, 해당 서버가 포함된 네트워크 내에 취약한 서버가 존재할 경우, ARP SPoofing 공격으로 쉽게 데이터가 유출되거나 변조될 수도 있다. 특히 서버들이 밀집해 있는 IDC환경에서 별도의 서브네트워크로 구성되지 않는 경우, 타 업체 서버의 보안문제점이 자사의 보안문제로 전이될 수 있다.
2. ARP 스푸핑 공격 발생 증상
1) 피해 시스템에서의 주요 증상
① 네트워크 속도 저하
- ARP 스푸핑을 위해 서버와 클라이언트 같은 종단간 통신을 가로채에 재전송하는 시스템이 있기 때문에 네트워크의 속도 저하가 발생한다.
② 악성코드 유포 공격코드 삽입
- 패킷을 가로챈 후 변조하는 경우 대부분은 웹 페이지가 시작되는
head, title 태그 주변에 삽입한다.
③ 정기적인 ARP 패킷 다량 수신
- 피해 시스템의 ARP table을 계속해서 변조된 상태로 유지하기 위해 공격자는 조작된 ARP 패킷을 지속적으로 발송하므로, ARP패킷의 수신량이 증가한다.
2) 공격 시스템에서의 주요 증상
① 네트워크 사용량 증가
- 타 시스템간의 통신을 가로챈 후 재전송하기 때문에, 네트워크 사용량이 증가하게 된다.
② 정기적인 ARP 패킷 발송
- 피해 시스템의 ARP table을 지속적으로 변조시키기 위해 정기적인 ARP 패킷을 발송한다.
③ 악성 프로세스 동작
- ARP 스푸핑과 패킷 변조를 위한 프로그램의 프로세스가 동작한다.
3. ARP 스푸핑 공격 확인 방법
대부분의 경우 게이트웨이의 ARP table에 동일한 MAC주소가 서로 다른 IP로 설정 되어 있는지 확인 가능하며, 불규칙적으로 MAC 변조가 이루어 질때는 ARP 스푸핑 공격을 탐지하는 도구(XArp 등)를 활용하여 모니터링 가능하다.
※ XARP 다운로드 : http://www.xarp.net
*** 무료 보안취약점 점검 ***
*귀사의 서버에 보안침해를 경험하셨거나, 보안취약점 점검을 받아보시고자 하시는
고객사는(이호스트IDC 고객 및 타사IDC 모든 고객대상)
-
언제든지 전화 및 메일주시면 보안취약성 점검을 통한
보안레포트를 제공해드리겠습니다.
'[IT 알아보기]' 카테고리의 다른 글
| 이호스트 IDC, 영세 · 중소 웹사이트 보안서버 무료구축 지원사업안내 (0) | 2015.06.25 |
|---|---|
| 서버호스팅, ARP 스푸핑 공격 대응방안 (0) | 2015.06.25 |
| EhostiDC. 디도스 대피소,서버호스팅 특별가 제공~!!! (0) | 2015.06.08 |
| 호스팅 서버보안 안내서- (VPN악용 방지) (0) | 2015.06.05 |
| EhostIDC. 서버이전 없는 디도스 보안 회선 제공 서비스 소개. (0) | 2015.05.07 |