머리
몸통

디스크샷™ 강좌

디스크샷™에 관한 팁이나 강좌등을 나눌 수 있는 공간입니다.

안녕하십니까? 주말/휴일 잘 보내고 계신지요? *^^* 저는 몸 상태도 메롱한데다가 집사람이 회사일로 바쁘셔서(?) 아이들 챙겨주랴 살림하랴 정신이 하나도 없습니다. 그 좋아하는 과자도 챙겨먹을 틈이 없군요..(==)

 

모쪼록 틈틈히 쉬시면서 운동도 꾸준히 하시고, 맛나고 체력에 도움이 되는 음식도 챙겨드시면서 건강한 12월을 보내시길 바랍니다 . ^^

 

흠.. 이번에는 이번 디스크샷™ 3.5버전에서 가장 주목해야 할 기능중 하나엣네트 제품군을 위한 "ARP 바이러스/해킹 방지 기능"에 대하여 간략히 소개를 드리겠습니다. (디스크샷™ 엣네트 제품군에만 적용된 기능입니다.)

네트워크 쪽으로는 역량이 부족한 관계로 다소 표현이 어색하거나 부족한 내용이 되더라도 많은 이해를 부탁드립니다. *^^*

 

최근 PC방등에서 인터넷을 단절시키는 일명 맥바이러스가 ARP 스푸핑을 이용하여 네트워크 마비 및 인터넷 단절외에 추가적인 개인정보 유출등 부가적인 피해의 가능성 증가하고 있는 시장 상황에 발맞추어 꼭! 필요하다는 판단하에 도입된 기능입니다.


우선 디스크샷™의 기능을 살펴보기전에 ARP 프로트콜과 ARP 스푸핑(Spoofing)에 대하여 간단히 살펴보겠습니다.

 

* ARP(Address Resolution Protocol)

 

: 동일 네트워크(LAN 환경) 상에서 특정 장비(컴퓨터/라우터/공유기등등)와 통신을 하기 위해서 해당 장비의

  논리적인 주소(IP 주소)와 매치되는 물리적인 네트워크 주소(MAC 주소)로 대응시키기 위하여 사용되는 프로토콜입니다.

  즉, ARP는 상대방의 IP 주소는 알고 있는데 MAC주소를 모르고 있는 경우 IP 주소 ▷▷ MAC 주소를 대응시키는 프로토콜이고, 

  반대의 개념인 RARP(Reverse Address Resolution Protocol)도 있습니다.

 

* 통상 A(192.168.0.1)라는 장비가 B(192.168.0.2)라는 장비와 통신을 시도하는 경우..

 

  ① A 장비는 우선 자신의 ARP 캐시(Cache) 테이블에서 B 장비의 IP와 대응되는 MAC 주소가 있는지 확인합니다.

  ② ARP Cache에 B 장비의 MAC 주소가 없는 경우 동일 네트워크상에 ARP 요청(Request) 패킷을 브로드캐스트합니다.

       브로드캐스팅하기때문에 동일 LAN상의 모든 장비에 ARP 요청 패킷이 전달되게 됩니다.

       (ARP 요청 패킷에는 보낸 장비의 IP 주소, MAC주소와 대상 장비의 IP 주소등이 포함되어 있습니다.)

  ③ 대상 장비의 IP 주소와 다른 장비는 해당 ARP 요청 패킷을 무시하게 되고 자신의 IP가 포함된 ARP 요청 패킷을 받은

       B 장비는 ARP 캐시 테이블에 A의 정보를 추가한 후 ARP 요청 패킷에 담겨있는 보낸 장비(A)의 주소로 ARP 응답(Reply)

      패킷을 전송하게 됩니다.

      (ARP  응답 패킷에는 응답 장비인 B의 IP 주소와 MAC 주소를 추가하여 유니캐스트로 전송합니다.)

  ④ B 장비의 ARP 응답을 받은 A 장비는 ARP 캐시 테이블을 업데이트하고 통신을 시작합니다.

 

이렇게 수집이 되는 IP 주소와 대응하는 MAC 주소는 각 장비마다 ARP 캐시 테이블에 저장이 되고, 패킷을 전송하는 경우마다 다시 사용이 됩니다. CMD 창에서 ARP -A 명령을 수행하면 현재 수집된 ARP 캐시를 확인 할 수 있습니다.

 

Cache.png

 

그런데 여기서 주목할 점은 ARP 프로토콜을 운용함에 있어서 프로토콜 내에서는 어떤 장비가 보낸 ARP 요청/응답에 대하여 진위 여부를 확인 할 수 있는 방법이 없기 때문에 같은 LAN 환경에서 악의적/고의적으로 ARP 패킷을 변조/수정하여 전송하는 경우 해당 정보를 수신한 장비는 잘못된 정보를 그대로 캐시에 저장하고 통신을 하게 되어 보안 문제가 발생할 수 있게 됩니다.

이를 응용한 공격이 ARP Spoofing 공격이 되겠습니다.



* ARP Spoofing

 

: 동일 LAN 환경에서 ARP  패킷을 이용하여 상대방 또는 상호간 전송되는 데이타 패킷을 중간에서 가로채거나 변조하는

  공격 방법으로 굉장히 피해가 클수 있는 악의적인 해킹 기법.

  공격자는 의도적으로 특정 IP 주소와 공격자의 MAC 주소로 매치되는 ARP 패킷을 각 호스트에 보내면, 그 패킷을

  받은  각 호스트들은 ARP 캐시에 해당 IP 주소와 공격자의 MAC 주소를 저장하게 되고, 해당 IP 주소로 전송될 데이타는

  공격자에게 전송이 되게 되고,  중간에서 이 데이타를 가로챈 공격자는 해당 정보를 모니터링/필터링 하거나 변조/첨부

  하여 실제 전송되어야 할 대상 장비로 재 전송을 하는 방법을 취하고 있습니다.

  또한, 공격자는 지속적인 ARP 패킷을 각 호스트들에게 보내서 각 호스트들의 ARP 캐시를 계속 업데이트 하게 됩니다.

 

  이렇기 때문에 공격이 받고 있음을 눈치채기가 어럽고 미미하게 네트워크 속도의 저하가 있을뿐 백신이나 보안툴도

  진단하기 어려운 부분입니다.

 

  이렇게 동일 네트워크 상에서 공격자가 ARP 패킷을 이용하여 공격하는 경우 네트워크 상에 있는 PC 또는 장비들이 별도로

  바이러스에 노출되거나 원격 툴이 설치되거나 보안에 취약한 상태가 아니더라도 네트워크를 통한 모든 데이타를

  필터링/모니터링 할 수 있는 아주 위험한 상태에 노출될 수 있게 되겠습니다.

  또한, 공격자가 게이트웨이 주소를 스푸핑 하는 경우, 네트워크를 통해 외부로 전송되는 대부분의 패킷이 공격자에게

  노출되기때문에 그 위험은 말 할 필요가 없겠습니다.

 

* ARP Spoofing 공격으로 특정 PC 가 모니터링 되며, 접속 아이디/패스워드 및 검색 사이트/검색어등이

   공격자 PC에서 그대로 모니터링 되는 화면들..(공격자의 PC에서 캡쳐한 이미지입니다.)



 

아무튼 위와 같은 공격은 PC방이나 전산실 및 기업등 다수의 컴퓨터가 동일 네트워크에 연결되어 운용되는 곳은 말할 것도 없고 개방형 무선인터넷이나 (아파트/오피스텔/대단위 사무실/공장등에서 주로 이용하는..) 단지 인터넷등에서도 게이트웨이가 스푸핑 당한다면 모든 인터넷/네트워크를 통해 전송되는 정보는 그대로 악의적인 공격자에게 노출될 수 있다는 점을 인식하고 항상 주의를 기울여야 하는 부분이라고 생각됩니다.

ARP Spoofing 공격을 이용하여 동일 네트워크에 연결된 컴퓨터에서 송/수신 되는 데이타를 탈취/검색하는 것 뿐이아니라 인터넷 전화등을 청취하거나 녹음/녹화도 가능하며, 바이러스등 악성코드를 추가하여 DDos 공격등 원격 공격에 활용하거나 개인정보니 기업정보를 탈취하는 사전 작업과 그 목적대로 악용하거나 무료 무선인터넷을 의도적으로 개방해두고 접속하는 스마트 폰/노트북등의 정보에 의도적인 접근이 가능하게끔 악용(?) 할 수도 있겠습니다.

 

굉장히 사설이 길었습니다만.. 자세한 내용은 각 포털에서 관련 검색을 해보시면 그 취약점과 피해 가능성에 대하여 상세히 습득이 가능하리라 생각됩니다.  그럼 부족한 소개는 여기서 마치고 이번에 추가된 기능에 대하여 간략히 소개를 드리겠습니다.ㅋ

 

이에 지난 디스크샷™ 3.4버전에서 ARP 매핑 상태 확인 기능이 도입이 되었습니다만.. 정상 ARP 매핑 여부만 확인하는 것만으로는 부족하다고 판단하여  관련 기능을 한층 보강/강화하여 ARP 프로토콜을 이용하는 바이러스나 악의적인 해킹을 방지 할 수 있는 기능을 도입하게 되었습니다.

 

우선 디스크샷™ 엣네트 콘솔의 옵션에서 본 기능의 적용 여부를 선택 하실 수 있습니다. 도입 초기이기 때문에 기본값은 본 기능을 사용 안하는 상태로 정해 있습니다.

또한, 해당 옵션 창에도 언급이 되어 있습니다만.. 라우터 장비가 교체 되는 경우에는 변경된 라우터 장비가 ARP 캐시에 정상적으로 적용이 되게 하기 위하여 "무조건" 해당 옵션을 토글(Off/On) 해주셔야 정상적으로 네트워크가 동작됩니다.

 

Option.png

 

해당 옵션을 통하여 해당 기능을 적용하는 경우..  현재 네트워크에서 ARP 스푸핑이 원천적으로 불가능한 방식으로 전환하여, 공격자가 의도한대로 ARP 공격을 할 수 없는 상태가 됩니다.

 

* 보통의 평온한 상태의 리스트 목록... *^^* : 모든 클라이언트의 ARP 매핑 상태가 "일치"로 표시됩니다.

   : ARP 변조/공격이 없는 상태에서는 콘솔 목록상에서는 별다른 변화가 없습니다.

 

Same.png  

특정 PC(UUCLab04_컴퓨터)가 ARP 공격을 받고 있는 상황 : 현재 UUCLab04_컴퓨터의 IP가 UUCLab02_컴퓨터의 MAC 주소로 ARP 변조되고 있음을 알수 있습니다. 이처럼 다른 PC로 변조되고 있는 경우 "공격자의 PC의 이름"이 표시됩니다.

 

Other.png

 

*  역시 특정 PC(UUCLab02_컴퓨터)가 ARP 공격을 받고 있는 상황: 현재 UUCLab02_컴퓨터의 IP가 다른 PC의 MAC 주소로 ARP 변조 되고 있으나 그 대상이 엣네트 콘솔 목록상에 없는 PC인경우 "불일치"라고 표시가 됩니다.

False.png

 

* 특정 PC가 엣네트 콘솔이 설치된 PC를 공격하고 있는 상황 : 콘솔이 설치된 PC를 공격하는 PC가 있는 경우 바로 그 공격 PC(숙주)를 잡아 낼 수 있도록 "감염됨"이라고 표시가 됩니다.

 

Poison.png

 

 

이처럼 특정 클라이언트가 ARP 공격을 받는 경우에도 콘솔 목록 상에서 "일치"가 아닌 "공격자 PC의 이름"이나 "불일치" 또는 "감염됨"이라고 표시가 됩니다. 하지만, 목록상 표시가 될 뿐 각 클라이언트의 게이트웨이를 통한 데이타 통신에 대한 공격은 완전히 차단되어 공격자의 개입/변조의 가능성을 방지하게 됩니다.

 

엣네트 관리 콘솔에서 해당 기능(ARP 바이러스/해킹 방지 기능)을 활성화 시킨 후 임의로 특정 PC를 Spoofing 시도/연출하는 화면입니다. 아래 이미지에서 보시면 아시다시피 공격자가 원하는 대로 데이타가 수신되지 않고 있음을 볼 수 있습니다.

 

Block.png

 

이와 같이 간단히 이번 3.5버전의 디스크샷™ 엣네트에 추가된 기능인 "ARP 바이러스/해킹 방지 기능"에 대하여  간단히 소개를 드렸습니다만.. 이래저래 자세한 내용에 대하여 소개를 드리고 싶은 마음이 굴뚝 같지만.. 역량이 부족한데다가 시간적 제약이 있어서 두서가 없고 중구난방으로 된 글이 된 것을 양해 부탁드리며, 사용함에 있어서 조금이라도 참고가 되시길 바랍니다. (- -)

4256일코보스group image
이 댓글을... 12/03, 17:13

몸이 안좋으신 와중에도 "큰"일 하셨습니다. 회원분들의 찬사가 이어지지 않을까 예상되네요. 수고하셨습니다. (__)

3722일id: 웃는나님[레벨:31]
이 댓글을... 12/03, 17:41

맥주소까지 보호되는군요. 수고 많으십니다.

2061일무한차를위해[레벨:17]
이 댓글을... 12/03, 19:46

수고하셨어요~

3718일블론디[레벨:15]
이 댓글을... 12/04, 09:26

바쁘시고 건강도 안좋으신 와중에 강좌까지 올리시느라 수고 많으셨습니다~

 

3045일희망전달[레벨:30]
profile
이 댓글을... 12/04, 09:42

"ARP바이러스/해킹 방지기능"을 박사님께서 한눈에 알아볼 수 있게 잘 정리하셨네요 수고 많으셨습니다.

3083일bluesea[레벨:27]
이 댓글을... 12/05, 13:14
추천1

지킬박사님의 글 솜씨는 늘 느끼지만, 정말 대단합니다.

PC관련 책을 내면 베스트셀러는 문제 없을 듯합니다. ^^

 

3026일아크엔젤[레벨:15]
이 댓글을... 12/06, 13:40

대박 기능이네요... 정말 이런걸 구현해 주신다는게 얼마나 든든한지 모르겠습니다... 새로운 기능에 호기심이 많았었는데 도움 많이 되었습니다.

2016일이더넷광장[레벨:0]
이 댓글을... 12/23, 08:46

xarp로 모니터링 하면서 긴장하고 있었을 때가 있었는데..

이제는 걱정 안 해도 되겠습니다.

2982일ssuny[레벨:3]
이 댓글을... 01/06, 21:16

콘솔이 작동하고 있을 때만 해당 기능이 적용 되는 건가요?

3896일지킬박사[레벨:28]
이 댓글을... 01/15, 01:15

넵.. 디스크샷™ 엣네트 관리 콘솔이 클라이언트와 연동하여 동작하는 기능으로써 해당기능은 관리콘솔이 실행되고 있고 엣네트 클라이언트가 설치/실행되고 있는 PC에 한하여 동작하는 기능입니다.^^

1992일없다고[레벨:4]
이 댓글을... 01/15, 09:24

백신대용으로 써도 될듯

1809일배나온원빈[레벨:11]
이 댓글을... 09/23, 02:33

보안에 안심이 되는 기능이네요

List of Articles
번호 제목 글쓴이 날짜

공지 디스크샷™ 부트패치 간단 FAQ imagemoviefile [39]

Q. 부트패치(Bootfetch)가 무엇인가요? A. 디스크샷의 HDD 보호막 내의 원본볼륨을 램드라이브화 하여 윈도우 부팅을 가속하는 기능입니다. Q. 부트패치의 가속 효율은 ...

4256일코보스group image
2012-03-21
54101
1

공지 시스템 보호/복구 솔루션 "바이러스 테스트... moviefile [10]

안녕하십니까? 연말/연시 업무 처리 및 모임으로 회원분들 및 고객사 여러분 모두 바쁜 시간으로 보내고 계실 것으로 생각이 됩니다. 추운 날씨에 건강 관리에 유의하시어...

3896일지킬박사[레벨:28]
2013-12-28
26343
6

63디스크샷™ 엣네트 v3.8(v3.7) 설치 FAQ imagefile [20]

이번 3.7 버전 공개로 인하여 사전 공지가 충분하지 못하여 엣네트를 사용 하시는 고객사에 다소 혼란이 있으셨을 것으로 생각됩니다. 때문에 간단히 이번 3.7버전으로의 ...

3896일지킬박사[레벨:28]
2012-11-02
19382
4

623.8 버전 이하 설치시 "A disk read error occurred"가... imagemoviefile [12]

안녕하십니까? 지킬박사입니다. 어제 디스크샷™ v3.7 설치를 진행하시면서 다소 생소한 화면을 접하신 분들이 적지 않은 것 같습니다. 이미 디스쿨 회원분들께서는 한번쯤...

3896일지킬박사[레벨:28]
2012-11-02
25102
8

61디스크샷™의 라이센스가 만료된 경우.. FA... imagefile [29]

안녕하십니까? ^^ 날로 더워지는 날씨에 건강 상치 않도록 뜨거운 국밥이나 탕도 많이 챙겨드시면서 올 여름을 거뜬히 지내실 수 있길 바랍니다.(더불어 불청객인 감기도 ...

3896일지킬박사[레벨:28]
2012-06-14
14043
5

60디스크샷™의 "엔진 접근 제한" 강제 해제 방법 imagefile [12]

안녕하십니까? 지킬박사입니다. 일교차가 큰 날씨에 혹여 건강에 염려가 없으신지 모르겠습니다. 저는 최근 감기/몸살에 편도선염 콤보에 아주 꿈(?)같은 4월을 보내고 싶습니...

3896일지킬박사[레벨:28]
2012-04-17
11031
0
No
Image

59부트패치를 이용해서 11초대를 달성하기 위한 간단 팁 moviefile [18]

인텔 메인보드, 윈도우7 64비트를 기준으로 작성하였습니다 첫번째. 메인보드 바이오스가 AMI 또는 UEFI바이오스(바이오스에서 마우스 움직이죠^^)일것... 요즘 대다수...

3804일이기훈[레벨:14]
2012-04-17
30298
5

58디스크샷™ 엣네트 3.6 기타 변경된 옵션 및 기능 imagefile [10]

늦었지만, 따로 변경사항을 확인하기 힘든 분들을 위해 3.6에서 변경된 옵션 몇가지를 정리해봅니다. 따로 하나하나 게시하기에는 상대적으로 적은 내용이라 하나로 합쳤습니...

4256일코보스group image
2012-04-12
11003
0

57디스크샷™ 엣네트 3.6 "부팅시간" 컬럼 표시 imagefile [12]

생각보다 많은 분들이 "부팅시간" 측정 기능을 모르시는 것으로 파악되어 간단한 강좌를 올려봅니다. 3.6 버전에서 부트패치 기능이 포함되면서 부트패치 효율 측정을 위해 ...

4256일코보스group image
2012-04-12
9802
1

56디스크샷™의 새로운 기능 "원격 데스크톱 연... imagefile [9]

몇일 날이 좋더니 오늘은 바람이 상당히 쌀쌀하게 느껴집니다. 어느새 3월도 마지막(영업일 기준) 날인데.. 모두 바쁘시겠습니다만 즐겁게 마무리 하실 수 있길 바랍니다.*^...

3896일지킬박사[레벨:28]
2012-03-30
10557
0

55디스크샷™의 정상적인 삭제/제거 (Uninstall) 방법 imagefile [19]

몇일째 점점 쌀쌀해 지고 있는 것 같습니다. 더구나 제 자리는 해가 들지 않는 그늘(눈이 좋지 않아 햇빛을 싫어합니다.^^)이라 온풍기에 얼굴만 뜨겁지 발은 꽁꽁 어는 ...

3896일지킬박사[레벨:28]
2012-01-31
21356
2

54디스크샷™의 새로운 기능 "부트패치"의 실제 ... imagemoviefile [46]

즐거운 주말 보내고 계신지요? 쉬는날임에도 출근 하신 분(저도 포함..)들에게 위로의 말씀을 드립니다. *^^* 어제 과하게 마신 술이 아직 덜 깨어 얼떨떨합니다만.. 엇그제...

3896일지킬박사[레벨:28]
2012-01-28
19916
1

53디스크샷™의 새로운 기능 "부트패치"를 위한 ... imagefile [18]

앞선 글과 별반 다르지 않은 모양새의 글이라 이어서 작성을 해야 맞습니다만.. 앞선 글이 너무 길어지는 것 같아 분리하였으니 참고하시길 바랍니다. * 이 글에서는 기존...

3896일지킬박사[레벨:28]
2012-01-26
19435
5

52디스크샷™의 새로운 기능 "부트패치"를 위한 ... imagefile [30]

안녕하십니까? 최근 두문불출하고 있는 지킬박사입니다. 회원분들과 가족분들 모두 새해 복 많이 받으시고, 항상 건강하신 한 해가 되시길 바랍니다. *^^* 이미 디스크샷™ ...

3896일지킬박사[레벨:28]
2012-01-26
24075
12

51디스크샷™의 새로운 기능 '엔진 접근 제한 기능' imagefile [16]

최근 작업실에 먼저 언급된, 디스크샷™ 엣네트 3.5.890의 새 기능, "디스크샷™ 엔진 접근 제한" 기능을 소개합니다. 이 기능은 공용PC 환경을 위해, 특히 관리자권한으로...

4256일코보스group image
2011-12-19
15664
3

50디스크샷™의 새로운 기능 "ARP 바이러스/해킹... imagefile [12]

안녕하십니까? 주말/휴일 잘 보내고 계신지요? *^^* 저는 몸 상태도 메롱한데다가 집사람이 회사일로 바쁘셔서(?) 아이들 챙겨주랴 살림하랴 정신이 하나도 없습니다. 그 좋...

3896일지킬박사[레벨:28]
2011-12-03
19849
6
꼬리
전체메뉴
전체메뉴
닫기