ARP 바이러스 소개
ARP 프로토콜은 "Address Resolution Protocol"의 약어입니다. LAN에서 실제로 네트워크에 전송되는 것은 "프레임"이며, 프레임에는 대상 호스트의 MAC 주소가 포함됩니다. 이더넷에서 호스트가 다른 호스트와 직접 통신하려면 대상 호스트의 MAC 주소를 알아야 합니다. 그런데 이 대상 MAC 주소는 어떻게 얻나요? 이는 주소 확인 프로토콜을 통해 획득됩니다. 소위 "주소 확인"은 호스트가 프레임을 보내기 전에 대상 IP 주소를 대상 MAC 주소로 변환하는 프로세스입니다. ARP 프로토콜의 기본 기능은 원활한 통신을 위해 대상 장치의 IP 주소를 통해 대상 장치의 MAC 주소를 쿼리하는 것입니다. 따라서 어떤 의미에서 ARP 프로토콜은 IP 프로토콜보다 낮은 프로토콜 계층에서 작동합니다. 이것이 바로 ARP 스푸핑으로 인해 아무도 모르게 네트워크 장애가 발생할 수 있으며 그 피해는 더욱 미묘합니다.
ARP 공격의 유형 1: 게이트웨이 스푸핑
ARP 바이러스는 잘못된 게이트웨이 MAC 통신을 다른 피해자에게 보내 다른 최종 사용자가 게이트웨이에 정상적으로 액세스할 수 없게 만듭니다. 이러한 형태의 공격은 캠퍼스 네트워크에서 매우 일반적입니다.
공격자는 동일한 네트워크 세그먼트에 있는 다른 호스트를 속이기 위해 위조된 게이트웨이 ARP 메시지를 보냅니다. 결과적으로, 게이트웨이에 접속하는 네트워크 상의 호스트로부터의 트래픽이 잘못된 MAC 주소로 리디렉션되어 사용자가 외부 네트워크에 정상적으로 접속할 수 없게 됩니다.
ARP 공격 유형 2: 게이트웨이 스푸핑
공격자는 최종 사용자의 잘못된 IP+MAC 통신을 게이트웨이로 전송하여 게이트웨이가 사용자와 정상적으로 통신할 수 없게 만듭니다. 합법적인 최종 사용자. 이러한 종류의 공격은 캠퍼스 네트워크에서도 발생하지만 "게이트웨이 스푸핑" 공격 유형에 비해 확률은 상대적으로 드뭅니다.
공격자는 업데이트된 게이트웨이의 동일한 네트워크 세그먼트에 있는 합법적인 사용자의 MAC 주소를 속이기 위해 거짓 ARP 메시지를 위조합니다. 게이트웨이에서 사용자에게 전송되는 모든 데이터는 잘못된 MAC 주소로 리디렉션되어 사용자가 외부 네트워크에 정상적으로 접속할 수 없게 됩니다.
ARP 공격의 유형 3: 최종 사용자를 속이는 공격
이러한 유형의 공격에서는 공격자가 잘못된 최종 사용자/서버 IP + MAC 통신을 피해자 최종 사용자에게 전송하여 결과적으로 네트워크 세그먼트에 있는 두 최종 사용자 간에 동일한 정상적인 통신이 발생할 수 없습니다. 이러한 종류의 공격은 캠퍼스 네트워크에서도 발생하지만 "게이트웨이 스푸핑" 공격 유형에 비해 확률은 상대적으로 드뭅니다.
공격자는 업데이트된 게이트웨이의 동일한 네트워크 세그먼트에 있는 합법적인 사용자의 MAC 주소를 속이기 위해 거짓 ARP 메시지를 위조합니다. 게이트웨이에서 사용자에게 전송되는 모든 데이터는 잘못된 MAC 주소로 리디렉션되어 사용자가 외부 네트워크에 정상적으로 접속할 수 없게 됩니다.
ARP 공격 유형 4: ARP Flood 공격
이러한 유형의 공격에서는 공격자가 서로 다른 ARP 메시지를 대량으로 위조하여 동일한 네트워크 세그먼트에 브로드캐스팅하여 게이트웨이 ARP 테이블 항목이 가득 차면 합법적인 사용자의 ARP 항목을 정상적으로 학습할 수 없으므로, 합법적인 사용자는 외부 네트워크에 정상적으로 접속할 수 없게 됩니다. 주로 LAN 자원을 소모하는 공격 방식입니다. 이런 종류의 공격은 캠퍼스 네트워크에서도 발생하지만 위의 세 가지 유형의기만적인 ARP 공격에 비해 확률은 상대적으로 드뭅니다.
ARP 공격의 주요 현상:
1. 온라인 뱅킹, 게임, QQ 계정의 빈번한 손실
어떤 사람들은 불법 이익을 얻기 위해 ARP 스푸핑을 사용합니다. 프로그램은 네트워크 내에서 불법적인 활동을 수행합니다. 이러한 프로그램의 주요 목적은 계정에 로그인할 때 암호화 및 암호 해독 알고리즘을 해독하는 것입니다. LAN에서 데이터 패킷을 가로채서 데이터 통신 프로토콜을 분석하여 사용자의 비밀번호를 가로채는 것입니다. 정보.
이 유형의 트로이 목마 바이러스를 실행하면 전체 근거리 통신망에 있는 인터넷 사용자 계정의 세부 정보를 탈취할 수 있습니다.
2. 네트워크 속도는 때로는 빠르기도 하고 느리기도 하며 극도로 불안정하지만, 단일 기기에서 광섬유 데이터를 테스트할 때는 모든 것이 정상입니다.
이 지역에 컴퓨터가 있을 때 ARP기만 프로그램에 의해 불법적으로 침입한 경우, 네트워크에 있는 모든 컴퓨터와 네트워크 장비에 계속해서 대량의 불법 ARP 스푸핑 패킷을 전송하여 네트워크 채널을 차단하고 네트워크 장비에 과부하를 초래하여 네트워크 통신 상태를 저하시킵니다. 품질을 안정화합니다.
3. LAN에서 지역적 또는 전체적 연결이 자주 끊어지고 컴퓨터나 네트워크 장비가 다시 시작되면 정상으로 돌아옵니다.
ARP 스푸핑 프로그램이 있는 컴퓨터가 네트워크에서 통신하는 경우 이러한 문제가 발생한 후 컴퓨터를 다시 시작하거나 네트워크 카드를 비활성화하면 일시적으로 문제가 해결되지만 연결이 계속 끊어집니다.
ARP 바이러스 솔루션
네트워크 보안 신뢰 관계를 IP나 MAC에 기반을 두지 마십시오.
정적 MAC-->IP 매핑 테이블을 설정하고 호스트가 설정한 변환 테이블을 새로 고치지 않도록 하세요.
필요한 경우가 아니면 ARP 사용을 중지하고 ARP를 해당 테이블에 영구 항목으로 저장하세요.
ARP 서버를 사용하세요. 이 ARP 서버가 해킹되지 않았는지 확인하세요.
IP 전송을 프록시하려면 "프록시"를 사용하세요.
하드웨어를 사용하여 호스트를 보호하세요.
정기적으로 응답 IP 패킷에서 rarp 요청을 얻어 ARP 응답의 신뢰성을 확인합니다.
호스트의 ARP 캐시를 확인하기 위해 주기적으로 폴링합니다.
방화벽을 사용하여 네트워크를 지속적으로 모니터링하세요.