1. ARP 프로토콜과 ARP Spoofing(중간자)

정보보안기사

[정보보안기사] 네트워크 보안 — ARP 프로토콜과 ARP Spoofing(중간자) 실습 정리

LAN에서 IP→MAC 해석 흐름, ARP 캐시 특성과 스푸핑 공격/탐지/차단 포인트를 한 번에 정리합니다.

분류 네트워크 보안키워드 ARP/캐시/중간자목표 원리+대응 실전

직접 제작한 개념도: ARP 스푸핑으로 트래픽이 공격자 경유로 바뀌는 흐름

ARP 핵심 개념

ARP(Address Resolution Protocol)는 같은 L2 세그먼트에서 IP 주소에 대응하는 MAC 주소를 알아내기 위한 프로토콜입니다.

• ARP Request: 브로드캐스트로 “이 IP의 MAC은 누구인가요?”를 질의합니다.
• ARP Reply: 해당 IP를 가진 장비가 자신의 MAC을 알려주는 응답입니다.
• ARP Cache: 매번 브로드캐스트를 하지 않도록 IP↔MAC 매핑을 일정 시간 저장합니다.
• 취약 포인트: ARP는 인증 메커니즘이 약해, 요청하지 않은 Reply가 반영되면 캐시가 잘못 반영될 수 있습니다.

시험/실무 포인트
같은 망에 들어온 공격자가 게이트웨이/서버 MAC을 사칭해 트래픽을 가로채는 구조가 성립합니다.

ARP Spoofing 공격 흐름

공격자는 피해자와 게이트웨이(또는 서버) 양쪽에 거짓 ARP Reply를 반복 전송해 서로의 캐시를 ‘공격자 MAC’으로 바꿉니다.

1. 피해자 캐시에 “게이트웨이 IP = 공격자 MAC”을 주입합니다.
2. 게이트웨이 캐시에 “피해자 IP = 공격자 MAC”을 주입합니다.
3. 피해자 트래픽이 공격자에게 먼저 들어오도록 경로를 바꿉니다.
4. 공격자가 IP 포워딩으로 정상 중계하면, 끊김 없이 도청/변조가 가능해집니다.

체크 포인트
서비스가 끊기지 않더라도, 패킷이 공격자를 경유하고 있을 수 있습니다.

실습에서 자주 보는 확인/명령

실습/점검에서 자주 쓰는 확인 흐름입니다.

# ARP 캐시 확인 (Windows)
arp -a

# ARP 캐시 확인 (Linux)
ip neigh show
arp -n

캡처에서는 동일 IP의 MAC이 갑자기 바뀌거나, 특정 호스트가 ARP Reply를 과도하게 송신하는지를 확인합니다.

방어/탐지 포인트

• 정적 ARP(제한적): 핵심 대상의 매핑을 고정해 캐시 오염을 줄입니다(운영 비용이 큼).
• DHCP Snooping + DAI: 스위치에서 바인딩 기반으로 위조 ARP를 검증/차단합니다.
• 802.1X/포트 보안: 비인가 단말의 L2 접속을 줄입니다.
• 탐지: ARP 테이블 변화, ARP Reply 폭주, 게이트웨이 MAC 변조를 모니터링합니다.

실무 팁
현장에서는 “단말 보안 + 스위치 레벨 차단(DAI)” 조합이 가장 효과적입니다.

용어 · 레퍼런스(요약)

본문에서는 흐름 이해에 집중하고, 용어는 아래에서 짧게 정리해 드립니다.

용어	한 줄 정리	더 깊게 보기(참고)
ARP	동일 세그먼트에서 IP↔MAC을 해석하는 프로토콜입니다.	RFC 826(ARP)
ARP Cache	IP↔MAC 매핑을 일정 시간 저장하는 테이블입니다.	OS별 ARP/Neighbor 문서
DAI	DHCP 바인딩 기반으로 위조 ARP를 차단하는 스위치 기능입니다.	벤더 가이드
MITM	통신 중간에서 도청/변조하는 공격 형태입니다.	MITM 개요 자료

참고 레퍼런스

• RFC 826 — Address Resolution Protocol
• Wireshark User Guide — ARP 분석 방법
• Cisco/Juniper 문서 — DHCP Snooping / Dynamic ARP Inspection
• MITRE ATT&CK — Adversary-in-the-Middle 개요