ARP스푸핑 방어기법
ARP 스푸핑이 게이트웨이를 속이기 떄문에 보안관리자 또는 사용자는 자신의 맥주소를 알고 있어야 한다.
CMD 창에서 arp -a 를 통해서 자신의 맥주소를 확인해 본다.
ARP스푸핑의 공격을 당하고 있으면 두번째에서 보는 바와 같이 정상적인 맥값이 아닌 다른 맥주소 값으로
변한것을 확인 할 수 있다.
또한 이는 와아이샤크로도 확인 할 수 있는데 다음 그림을 참조한다.
(클릭시 확대해서 볼 수 있음)
와이어샤크 필터 에서 arp. 까지만 입력하면 여러가지 옵션이 나온다.
이떄 arp.opcode==2 라고 입력해 본다.
이는 reply 만 보겠다는 의미 이다.
이렇게 해서 공격패킷을 찾을 수 있고 여기서 유해트래픽 가운데 공격자의 MAC 주소값이 노출되는데
필터옵션을 eth.addr==mac주소 를 쓰면 상대방의 아이피주소를 찾아 낼 수 있다.
apr스푸핑 공격같은 경우는 아이피대역대가 같을 경우 공격이 되기 떄문에 외부 보다는 내부자의
의한 해킹을 조심하게 되고 또한 이를 막기 위해서는 보안기능이 탑재된 스위치를 사용한다거나
아니면 cmd 에서 arp -s 옵션으로 맥주소값을 고정 시켜야 한다.
그러므로 보안관리자등은 자신의 정상적인 맥주소값을 엑셀등에 저장해 두어야 한다.
