[정보보안 정리] 네트워크 - ARP/RARP 및 GARP

*ARP/RARP 프로토콜 (TCP/IP 인터넷 계층)

: 논리적인 주소와 물리적인 주소 사이의 변환을 담당

https://dangsdangs.tistory.com/38

[정보보안 정리] 네트워크 - TCP/IP 프로토콜

- 일반적으로 IP 주소는 시스템 하드디스크 내 설정파일에 저장되어있으나,

하드디스크가 없는 터미널일 경우 초기 가동될 때 자신의 MAC 주소를 담아 RARP 요청을 통해 IP 주소 받아옴

 

-ARP 동작방식

(1) 최초 상대방의 물리적인 주소를 모르고 논리적인 IP 주소만 알기 때문에, ARP 요청 메시지를 브로드캐스트

(2) Target 호스트에서는 ARP 응답 메시지를 만들어 응답. 응답 메시지에는 Target 호스트의 MAC 주소 정보가 담겨있고,

요청자의 MAC 주소를 알기 때문에 유니캐스트 방식으로 응답

• 브로드캐스트  : 모든 호스트에 동시에 패킷 전송. FF:FF:FF:FF:FF:FF
• 유니캐스트 : 1대 1 패킷 전송

 

-RARP 동작방식

(1) 자신의 논리적인 IP 주소를 모르고 물리적인 MAC 주소만 알기 때문에 자신의 MAC 정보를 담고 있는

RARP 요청 메시지를 브로드캐스트

(2) RARP Server에는 요청자의 IP 주소정보를 담은 RARP 응답 메시지를 만들어

요청자 MAC 주소로 유니캐스트

 

---

 

*ARP Spoofing(ARP Cache Poisoning) 공격

https://www.thesslstore.com/blog/everything-you-need-to-know-about-arp-spoofing/

: 공격자가 희생자의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply를 만들어 희생자에게 지속적으로 전송해

희생자 ARP Cache Table의 MAC 정보가 공격자의 MAC 정보로 변경되어 패킷을 스니핑 하는 공격

-IP Forward 기능 활성화

- ARP Redirect 공격 : 희생자 ARP Cache의 Gateway(Router) 주소를 공격자 MAC 주소로 변조하여 스니핑

-동일 네트워크 대역에 있어야함

 

-대응방법

(1) ARP 캐시를 정적으로 설정하여 ARP 응답을 수신해도 캐시 정보를 갱신하지 않도록 설정

(2) 캐시 정보는 시스템 종료 시 삭제되므로 시스템 가동시마다 ARP 캐시를 정적으로 구성

(3) 네트워크상의 ARP 트래픽을 실시간으로 모니터링하는 프로그램 (ARPWatch)를 이용하여

IP와 MAC 주소 매핑을 감시, 변경 발생 시 즉시 확인

 

---

 

*GARP(Gratuitous ARP)

: Sender IP와 Target IP가 동일한 ARP 요청

-장비가 ARP 요청 브로드캐스트를 통해 다른 장비에게 네트워크에 있는 자신의 존재를 알리는 목적

 

-목적

(1) IP 충돌 감지

(2) 상대방의 ARP Cache 정보 갱신