[Protocols] ARP 동작 원리

security/D. Network

[Protocols] ARP 동작 원리

xudegloss 2024. 3. 14. 13:35

arp-storm.pcap

0.05MB

0) 상황 분석

IP에서 mac 주소를 찾기 위하여, 브로드캐스트로 ARP Request를 보내는 상황

1) Frame 분석

2004년 10월 5일에 오후 23시 1분에 도달

2) Ethernet 분석

송신 mac과 수신 mac 확인 가능하고, 어떤 방식으로 통신하는지 체크 가능

3) ARP Request 요청 분석

송신	24.166.172.1
수신	Broadcast (ff:ff:ff:ff:ff:ff)
설명	송신자가 24.166.173.159의 mac 주소를 찾기 위하여 브로드캐스트로 arp request 보내는 상황

1) Target IP는 알고 있으나, Target Mac 주소는 모르기 때문에 00:00:00:00:00:00로 표기
2) 하드웨어 종류는 Ethernet (1) → 사용 중인 네트워크 하드웨어 정보
3) 프로토콜 타입은 IPv4
4) 동작은 request (1) → 요청, 응답은 2

구글에 "iana arp" 라고 검색하면 해당 필드의 값 확인 가능

https://www.iana.org/assignments/arp-parameters/arp-parameters.xhtml

4) 내 단말에서 arp 동작 과정 확인

내 단말에서 arp table 확인 후, arp table을 모두 지운 후에 wireshark에서 어떻게 동작하는지 확인
현재 내 단말 IPv4 주소는 192.168.114.109 (dhcp) 이고, 이를 기준으로 체크 (송신자 IP)

1) 단말에서 arp table 확인

C:\Users\xudeg>arp -a

인터페이스: 192.168.114.109 --- 0xe
  인터넷 주소           물리적 주소           유형
  192.168.114.35        c6-83-3f-74-3b-d2     동적
  192.168.114.255       ff-ff-ff-ff-ff-ff     정적
  224.0.0.22            01-00-5e-00-00-16     정적
  224.0.0.251           01-00-5e-00-00-fb     정적
  224.0.0.252           01-00-5e-00-00-fc     정적
  239.255.255.250       01-00-5e-7f-ff-fa     정적
  255.255.255.255       ff-ff-ff-ff-ff-ff     정적

인터페이스: 192.168.187.1 --- 0x10
  인터넷 주소           물리적 주소           유형
  192.168.187.255       ff-ff-ff-ff-ff-ff     정적
  224.0.0.22            01-00-5e-00-00-16     정적
  224.0.0.251           01-00-5e-00-00-fb     정적
  224.0.0.252           01-00-5e-00-00-fc     정적
  239.255.255.250       01-00-5e-7f-ff-fa     정적

인터페이스: 192.168.119.1 --- 0x13
  인터넷 주소           물리적 주소           유형
  192.168.119.254       00-50-56-fb-66-3b     동적
  192.168.119.255       ff-ff-ff-ff-ff-ff     정적
  224.0.0.22            01-00-5e-00-00-16     정적
  224.0.0.251           01-00-5e-00-00-fb     정적
  224.0.0.252           01-00-5e-00-00-fc     정적
  239.255.255.250       01-00-5e-7f-ff-fa     정적
  255.255.255.255       ff-ff-ff-ff-ff-ff     정적

인터페이스: 192.168.56.1 --- 0x16
  인터넷 주소           물리적 주소           유형
  192.168.56.254        00-50-56-f7-5b-7f     동적
  192.168.56.255        ff-ff-ff-ff-ff-ff     정적
  224.0.0.22            01-00-5e-00-00-16     정적
  224.0.0.251           01-00-5e-00-00-fb     정적
  224.0.0.252           01-00-5e-00-00-fc     정적
  239.255.255.250       01-00-5e-7f-ff-fa     정적
  255.255.255.255       ff-ff-ff-ff-ff-ff     정적

인터페이스: 172.21.80.1 --- 0x21
  인터넷 주소           물리적 주소           유형
  172.21.95.255         ff-ff-ff-ff-ff-ff     정적
  224.0.0.22            01-00-5e-00-00-16     정적
  224.0.0.251           01-00-5e-00-00-fb     정적
  239.255.255.250       01-00-5e-7f-ff-fa     정적
  255.255.255.255       ff-ff-ff-ff-ff-ff     정적

1) 동적 : ARP에서 얻은 값을 "임시로" 저장한 내용
2) 정적 : 시스템에서 고정적으로 등록한 값

2) 관리자 권한으로 arp table 내용 삭제

C:\WINDOWS\system32>arp -d

3) wireshark에서 확인

송신자 IP가 192.168.114.35의 mac 주소를 찾기 위하여 브로드캐스트로 arp request 전송수신자 IP는 알고 있으나, mac은 모르기 때문에 00:00:00:00:00:00으로 표기
송신자 IP, mac은 알고 있음

브로드캐스트로 보내면 해당 IP를 가진 단말이 본인 mac 주소를 담아서 arp reply 전송
192.168.114.35의 mac 주소가 c6:83:3f:74:3b:d2 임을 알 수 있음

저작자표시

'security > D. Network' 카테고리의 다른 글

[Protocols] ICMP 동작 원리 (0)	2024.03.14
[Network] 네트워크 교과서 (0)	2024.03.13
[Network] 클라이언트와 서버 간 정보 전송 과정 (0)	2024.03.12
[Network] Network Security (0)	2024.03.11
[Network] Multimedia Networking (0)	2024.03.11

현재글[Protocols] ARP 동작 원리

Security Engineer

D-day Counter, javascript, flex, 인프라, BOJ, setinterval, 국비지원, html, CSS, codecamp, 토이프로젝트, node.js, 네트워크, js, 패스트캠퍼스, 보안관제, github, Trouble Shooting, 네트워크관리사2급, Cyworld,

Today :
Yesterday :

TechLabs