ARP Spoofing 실습과 패킷 흐름 분석
네트워크 운영 관점에서 ARP Spoofing 실습과 패킷 흐름 분석의 목적, 구성 흐름, 실행 전 확인할 항목을 정리한 기술 노트입니다. 원문 핵심: 실습 개요] 1) 공격자 OS : LINUX IP : 192.168.11.250 MAC : 00:0c:29:ff:9a:04 2) 클라이언트 정보 OS : WIN7 IP : 192.168.11.132 MAC...
핵심 요약
- 네트워크 운영 업무에서 ARP Spoofing 실습과 패킷 흐름 분석를 빠르게 검토할 수 있도록 원문을 운영 절차 중심으로 재구성했습니다.
- 실습/설정/로그 내용은 보존하되, 적용 범위와 검증 포인트를 먼저 확인할 수 있게 정리했습니다.
- 원문 핵심: 실습 개요] 1) 공격자 OS : LINUX IP : 192.168.11.250 MAC : 00:0c:29:ff:9a:04 2) 클라이언트 정보 OS : WIN7 IP : 192.168.11.132 MAC : 00:0c29:6A:5EFC 3) 게이트웨이 정보 IP : 192.168.11.1 MAC : 00:50:56:fa:45:a4 실습 순서] 본격적인 스푸핑을 진행하기 전에 정상적인 통신을 먼저 진행해보고,...
적용 범위
이 글은 네트워크 운영 영역에서 ARP Spoofing 실습과 패킷 흐름 분석를 검토하는 사람을 위한 정리본입니다. 원문은 네이버 블로그에 작성된 실습/메모를 기반으로 하며, 현재 환경에 적용할 때는 명령어와 설정값을 반드시 재검증해야 합니다.
정리된 본문
실습 개요]
1) 공격자
OS : LINUX
IP : 192.168.11.250
MAC : 00:0c:29:ff:9a:04
2) 클라이언트 정보
OS : WIN7
IP : 192.168.11.132
MAC : 00:0c29:6A:5EFC
3) 게이트웨이 정보
IP : 192.168.11.1
MAC : 00:50:56:fa:45:a4
실습 순서]
본격적인 스푸핑을 진행하기 전에 정상적인 통신을 먼저 진행해보고,
공격자PC를 통해서 스푸핑을 하여 캡쳐된 패킷을 비교해 볼 예정
ICMP echo request 192.168.11.132 > 8.8.8.8 (스푸핑 전)
ICMP echo request 192.168.11.132 > 8.8.8.8 (스푸핑 후)
실습 진행]
1) 먼저 정상적인 상태에서 패킷 흐름을 ICMP ping을 통해서 확인한다
WIN7에서 8.8.8.8로 핑을 보낸후, 공격자PC에서 tcpdump를 통해 패킷 캡쳐
ICMP request 패킷이 게이트웨이인 00:50:56:fa:45:a4 으로 가는 것을 확인한다
2) 공격자PC에서 스푸핑을 진행한다
스푸핑 진행 전에 패킷이 공격자PC를 통과할 수 있게 포워딩 설정을 한다
포워딩 설정 후 공격자PC에서 스푸핑 명령어를 실행한다
클라이언트에서 라우팅테이블 조회
스푸핑 공격 전
스푸핑 공격 후
ICMP request가 게이트웨이의 MAC 주소 00:50:56:fa:45:a4 가 아닌 공격자 PC의 00:0c:29:ff:9a:04 로 가는 것을 확인할 수 있다
이처럼 ARP spoofing을 통해서 공격자PC는 희생자(클라이언트)에게 자신이 게이트웨이라고 속여 패킷이 자신을 지나가게 함으로써 정보를 탈취할 수 있다
그러나 현재 상태에서 reply 패킷은 공격자PC를 통하지 않고 바로 클라이언트에게 가는데
공격자PC에서 아래 명령어를 사용하면 응답 패킷까지 모두 탈취할 수 있다
클라이언트에서 8.8.8.8에 다시 ICMP 요청을 보낸다
ICMP 요청, 응답이 모두 공격자PC를 거쳐서 가는 것을 확인할 수 있다운영 체크리스트
- 대상 OS, 네트워크 대역, 계정 권한, 패키지 버전이 현재 환경과 맞는지 확인합니다.
- 운영 장비에서 실행하기 전 랩 환경 또는 읽기 전용 명령으로 먼저 검증합니다.
- 설정 변경, 서비스 재시작, 방화벽 변경, 디스크 작업은 백업과 롤백 경로를 준비한 뒤 진행합니다.
- 본문의 IP, 계정명, 경로, 장비명은 예시 또는 당시 실습 환경 기준이므로 실제 환경 값으로 치환합니다.
원문 출처
원문: https://blog.naver.com/hermes_u/222468192969
네이버 카테고리: 리눅스 실습
원문 작성일: 2021-08-13T11:37:00.000+09:00
Paid Launch Help
If this article connects to a real product, infrastructure workflow, web app, or game launch, I can turn the rough signal into a small paid deliverable.
- $1 Korean Launch Signal Audit: three friction points, three concrete fixes, and one Korea/global buyer angle for one URL or page.
- $100 Launch Conversion Sprint: a 48-hour audit, compact copy rewrite, implementation handoff, and 7-day action list.
Best fit for network diagnosis, packet flow, routing, and service exposure review related to ARP Spoofing 실습과 패킷 흐름 분석. No login, private source code, production credential, or sensitive customer data is required for the first pass.