ARP Spoofing 대응 방법

ARP Spoofing 탐지 및 대응 방법

1.ARP Spoofing 발생 시 증상

 (1) 피해 시스템에서의 증상

 - 네트워크 속도 저하

 - 악성코드가 웹 페이지 시작 부분에 위치

 - 정기적인 ARP 패킷 다량 수신

 (2) 공격 시스템에서의 증상

 - 네트워크 사용량 증가

 - 정기적인 ARP 패킷 발송

 - 악성 프로그램의 프로세스 동작

2.피해 시스템에서의 탐지 방법

 (1) ARP table을 통한 MAC 주소 중복 확인

  - 윈도우나 유닉스/리눅스 모두 arp -a 명령으로 ARP table을 조회하는 명령으로 주변 시스템의 IP와 MAC주소를 확인합니다. ARP table에 동일한 MAC주소가 서로 다른 IP에서 사용되고 있는지 확인해야 합니다. 

 (2) 송 수신 패킷에서 악성코드 유무 검사

   - tcpdump, wireshark, packviewer 등의 패킷 분석 도구를 사용하여 실제로 서버에서 송신되는 패킷에 악성코드가 삽입되어 있는지 확인합니다. 패킷 내에 iframe 등을 이용한 악성코드가 있다면 ARP Spoofing이 아니라 서버 내부의 악성코드가 존재하는 것입니다. 하지만 패킷자체에는 악성코드가 없는데 수신하는 패킷에 악성코드가 있다면 ARP Spoofing으로 패킷이 변조 되었을 확률이 높습니다.

tcpdump -w[log파일명] -s 1500 port 80으로 송신되는 명령어를 저장후 확인 할 수 있습니다.

  (3) 비정상적인 ARP 패킷 수신 확인

    - ARP Spoofing공격이 실행될 때 서버의 ARP 패킷을 분석하면 필요 이상의 reply패킷이 있습니다. 서버는 지속적으로 G/W와 통신하기 때문에 MAC의 주소가 ARP table에서 삭제되지 않기 때문에 request가 없는 reply패킷만 수신되지 않습니다.

  (4) ARP table 감시 도구 활용

     - 윈도우의 ARP table 감시 도구는 sniffswitch, XArp 등이 있습니다. 

3.공격 시스템에서의 탐지 방법

  네트워크 어댑터의 동작 확인

     - ARP Spoofing도 스니핑 활동의 일부이기 때문에 promiscous mode인지 확인해 봅니다.

4. 네트워크 장비에서의 탐지 방법

   (1) ARP table 확인

     - 모든 IP-MAC주소를 확인하며 동일한 MAC의 사용여부를 체크합니다.

   (2) 패킷 모니터링 기능 활용

     - 패킷 모니터링 기능을 활용하여 불필요한 ARP 패킷들이 탐지되는지 확인하며 특정 포트나 호스트의 MAC주소가 자주변경되는지 확인합니다.

ARP Spoofing 공격 방지 대책

1. 시스템에서의 방지 대책

  (1) 정적인 ARP table 관리

    - 배부팅 시에도 항상 정적인 ARP table이 관리 될 수 있도록 합니다. 

 (2) ARP Spoofing 서버로 악용되지 않도록 보안수준 강화

   - 대부분의 ARP SPoofing은 공격자가 설치한 프로그램으로 트래픽 변조 서버가 된 것입니다. 따라서 서버의 보안 수준을 강화합니다.

  (3) 중요 패킷 암호화

   - 네트워크를 통해 중요한 데이터가 송수신 될 경우 유출 및 변조가 될 수 있기 때문에 암호화합니다.

네트워크 장비에서의 방지 대책

  (1) MAC Flooding 제어 및 정적인 MAC주소 관리

   - MAC Flooding방법은 MAC주소를 생성하여 자원을 고갈시키는 공격으로 Port security 기능을 사용하는 것이 효과적입니다.

  (2) 사설 VLAN 활용

   - VLAN을 활용하여 고객을 격리 운용하면 좀더 안전한 방법이 될 수 있습니다.