패킷을 훔치는 ARP Spoofing 공격 탐지 툴 (2)

이전 글에 이어서 ARP Spoofing 을 탐지하는 툴에 대해서 소개하겠습니다.
물론, 커맨드 창에서 arp -a 명령을 내려서 ARP Cache 상태를 확인하여 ARP Spoofing 공격 여부를 알 수도 있습니다만 이번 글에서는 툴을 사용해서 탐지하는 방법과 와이어샤크를 사용하여 탐지하는 방법을 설명드리겠습니다.

ARP Spoofing 공격을 탐지할 수 있는 툴로는 WinARPWatch라는 툴이 있습니다. 아래 그림을 보시면 IP주소192.168.0.1 은 GateWay 주소인데 192.168.0.31의 맥어드레스로 바뀐 것을 확인할 수 있습니다.

ARP Spoofing 공격을 탐지할 수 있는 또 다른 툴은 XArp라는 툴이 있습니다.

수동으로 ARP Spoofing 공격을 확인할 수 있는 방법은 패킷 분석 도구인 와이어샤크를 사용하여 ARP 패킷을 확인하는 것입니다. 아래 그림을 보시면 Host들의 맥어드레스를 변경하려고 시도하는 것을 볼 수 있습니다.

그럼 이제 ARP Spoofing 공격을 대처하는 방법을 알아보겠습니다. 

1. ARP Spoofing 공격이 이루어지면 V3에서 아래와 같은
"차단한 침입 : Man-In-The-Middle Attack"이라는 경고 메세지를 팝업합니다. 아래 그림과 같이 AV제품을 사용하여 ARP Spoofing 공격을 탐지하고 방어할 수 있겠습니다.

2. ARP storm이 있는지 확인해 봅니다. 위의 툴들로 확인할 수도 있으며 와이어샤크 같은 패킷을 확인할 수 있는 툴을 사용하여 ARP 패킷이 지나치게 많이 발생하거나 MAC어드레스 변경을 시도하는 것 등을 통해 탐지를 할 수 있습니다. 아래 보시면 패킷의 44.89%가 ARP 패킷으로 ARP Spoofing 공격으로 ARP 패킷이 과도하게 많이 발생된 것을 볼 수가 있습니다.

3. 마지막으로 ARP 테이블을 정적으로 관리합니다. ARP 테이블을 정적으로 설치할 수 있는 방법은 arp명령 중에서 -s 옵션을 사용하는 것입니다. 사용 방법은 아래와 같습니다.
arp -s <Host IP> <MAC address>

이상 2회에 걸친 글로 ARP Spoofing 공격 기법 및 탐지 방법 그리고 공격을 방어할 수 있는 대처 방법에 대하여 알아보았습니다.