답변:
예. 여기 몇 가지가 있습니다 :
ARP 스푸핑.
잘못된 ARP 메시지가 LAN을 통해 전송되므로 공격자의 MAC 주소와 네트워크상의 합법적 인 컴퓨터 또는 서버의 IP 주소가 연결됩니다.
ARP 스푸핑 / 중독에 대한 자세한 내용은 아래를 참조하십시오.
MAC 홍수.
어떤 MAC 주소가 어떤 물리적 포트에 제한된 메모리 양을 가지고 있는지 추적하는 변환 표. 이렇게하면 변환 테이블을 오버플로하여 스위치를 악용 할 수 있습니다. 초과 데이터를 처리하는 방법을 모르는 기본 스위치는 '실패'하여 모든 네트워크 프레임을 모든 포트로 브로드 캐스트합니다.
MAC 복제.
MAC 복제 공격에서 스위치는 두 포트가 동일한 MAC 주소를 갖는 것으로 혼동됩니다. 데이터가 두 포트 모두에 전달되므로 IP 전달이 필요하지 않습니다.
TCP / IP ARP (Address Resolution Protocol)의 소스 보안
IPv6에 대한 개선 및 추가 기능을 제공합니다.
NDP와 프로토콜 ARP (Address Resolution Protocol), ICMP Router Discovery (RDISC) 및 ICMP Redirect [ICMPv4] 프로토콜을 비교하려면 아래를 참조하십시오.
SEND (Secure Neighbor Discovery) 프로토콜을 사용합니다. 암호화로 생성 된 주소는 청구 된 NDP 메시지 소스가 청구 된 주소의 소유자임을 보장합니다.
IPv6 NDP (Neighbor Discovery Protocol)의 기능 중 하나는 네트워크 계층 (IP) 주소를 분석하여 계층 (예 : 이더넷) 주소를 연결하는 것입니다. 이는 ARP (Address Resolution Protocol)에 의해 IPv4에서 수행되는 기능입니다. SEND (Secure Neighbor Discovery) 프로토콜은 브로드 캐스트 세그먼트에 액세스하는 공격자가 NDP 또는 ARP를 악용하여 호스트가 다른 사람을 대상으로하는 공격자 트래픽 (ARP 중독이라고 알려진)을 보내도록 속이는 것을 방지합니다.
ARP 중독 및 NDP 기능에 대한 기타 공격으로부터 보호하려면 브로드 캐스트 세그먼트에 대한 액세스를 막을 수없는 곳에 SEND를 배포해야합니다.
SEND는 RFC 3972, CGA (Cryptographically Generated Addresses)에 정의 된대로 RSA 키 쌍을 사용하여 암호화 생성 주소를 생성합니다. 이렇게하면 청구 된 NDP 메시지 소스가 청구 된 주소의 소유자가됩니다.
ARP 스푸핑은 APR (ARP Poison Routing) 또는 ARP 캐시 중독이라고도합니다.
ARP 스푸핑은 악의적 인 행위자가 근거리 통신망을 통해 위조 된 ARP (Address Resolution Protocol) 메시지를 보내는 공격 유형입니다. 이로 인해 공격자의 MAC 주소가 네트워크에있는 합법적 인 컴퓨터 또는 서버의 IP 주소와 연결됩니다.
공격자의 MAC 주소가 인증 된 IP 주소에 연결되면 공격자는 해당 IP 주소 용 데이터를 수신하기 시작합니다.
ARP 스푸핑을 통해 악의적 인 사용자가 전송중인 데이터를 가로 채거나 수정하거나 중지 할 수 있습니다. ARP 스푸핑 공격은 주소 확인 프로토콜을 사용하는 LAN에서만 발생할 수 있습니다.
소스 Veracode ARP 스푸핑
ARP 스푸핑 공격 단계는 일반적으로 다음과 같습니다.
공격자는 ARP 스푸핑 도구를 열고 대상의 IP 서브넷과 일치하도록 도구의 IP 주소를 설정합니다. 널리 사용되는 ARP 스푸핑 소프트웨어의 예로 Arpspoof, Cain & Abel, Arpoison 및 Ettercap이 있습니다.
공격자는 ARP 스푸핑 도구를 사용하여 대상 서브넷에있는 호스트의 IP 및 MAC 주소를 검색합니다.
공격자는 대상을 선택하고 공격자의 MAC 주소와 대상의 IP 주소가 포함 된 LAN을 통해 ARP 패킷을 보내기 시작합니다.
LAN의 다른 호스트가 스푸핑 된 ARP 패킷을 캐시함에 따라 해당 호스트가 피해자에게 보내는 데이터는 대신 공격자에게 전달됩니다. 여기에서 공격자는 데이터를 훔치거나보다 정교한 후속 공격을 시작할 수 있습니다.
소스 Veracode ARP 스푸핑
공격자는 패킷을 검사 (스파이 링)하고 트래픽을 실제 기본 게이트웨이로 전달하여 검색을 피하거나 전달하기 전에 데이터를 수정 (중간자 공격)하거나 서비스 거부를 시작할 수 있습니다. 네트워크의 일부 또는 모든 패킷을 삭제하여 공격합니다.
소스 Wikipedia ARP 스푸핑
IPv6 이웃 검색 프로토콜은 IPv4 프로토콜 주소 확인 프로토콜 (ARP), ICMP 라우터 검색 (RDISC) 및 ICMP 리디렉션 (ICMPv4)의 조합에 해당합니다.
IPv4에서는 일반적으로 Neighbor Unreachability Detection에 대한 프로토콜 또는 메커니즘에 동의하지 않지만 Hosts Requirements 문서 [HR-CL]은 Dead Gateway Detection (Neighbor Unreachability Detection 태클 문제의 하위 집합)에 대해 가능한 알고리즘을 지정합니다.
Neighbor Discovery 프로토콜은 IPv4 프로토콜 세트에 비해 여러 가지 향상된 기능을 제공합니다.
라우터 검색은 기본 프로토콜 세트의 일부입니다. 호스트가 라우팅 프로토콜을 "스누핑"할 필요가 없습니다.
라우터 광고는 링크 계층 주소를 전달합니다. 라우터의 링크 계층 주소를 확인하기 위해 추가 패킷 교환이 필요하지 않습니다.
라우터 광고에는 링크의 접두사가 있습니다. "넷 마스크"를 구성하기 위해 별도의 메커니즘이 필요하지 않습니다.
라우터 알림은 주소 자동 구성을 활성화합니다.
라우터는 호스트가 링크에서 사용할 수 있도록 MTU를 알릴 수 있으며, 잘 정의 된 MTU가없는 링크에서 모든 노드가 동일한 MTU 값을 사용하도록합니다.
주소 확인 멀티 캐스트는 1600 만 (2 ^ 24) 이상의 멀티 캐스트 주소에 "확산"되어 대상 이외의 노드에서 주소 확인 관련 인터럽트를 크게 줄입니다. 또한 비 IPv6 시스템은 전혀 중단되지 않아야합니다.
리디렉션에는 새로운 첫 번째 홉의 링크 계층 주소가 포함됩니다. 리디렉션을 수신 할 때 별도의 주소 확인이 필요하지 않습니다.
여러 개의 접두사가 동일한 링크와 연관 될 수 있습니다. 기본적으로 호스트는 라우터 알림에서 모든 온 링크 접두사를 학습합니다. 그러나 라우터는 라우터 알림에서 일부 또는 모든 접두사를 생략하도록 구성 될 수 있습니다. 이러한 경우 호스트는 대상이 오프 링크이고 트래픽을 라우터로 전송한다고 가정합니다. 그런 다음 라우터는 적절하게 리디렉션을 발행 할 수 있습니다.
IPv4와 달리 IPv6 리디렉션 수신자는 새로운 다음 홉이 온 링크라고 가정합니다. IPv4에서 호스트는 링크의 네트워크 마스크에 따라 온 링크가 아닌 다음 홉을 지정하여 리디렉션을 무시합니다. IPv6 리디렉션 메커니즘은 [SH-MEDIA]에 지정된 XRedirect 기능과 유사합니다. 노드가 온 링크 대상의 모든 접두사를 알 수 없거나 바람직하지 않은 비 브로드 캐스트 및 공유 미디어 링크에 유용 할 것으로 예상됩니다.
Neighbor Unreachability Detection은 기본의 일부이며, 라우터 실패, 부분적으로 실패했거나 분할 된 링크 또는 링크 계층 주소를 변경하는 노드가있는 경우 패킷 전달의 견고성을 크게 향상시킵니다. 예를 들어, 모바일 노드는 오래된 ARP 캐시로 인해 연결이 끊기지 않고 오프 링크로 이동할 수 있습니다.
ARP와 달리 Neighbor Discovery는 Neighbor Unreachability Detection을 사용하여 반 링크 오류를 감지하고 양방향 연결이없는 이웃으로 트래픽을 보내지 않습니다.
IPv4 라우터 검색과 달리 라우터 알림 메시지에는 기본 설정 필드가 없습니다. 기본 설정 필드는 "안정성"이 다른 라우터를 처리하는 데 필요하지 않습니다. Neighbor Unreachability Detection은 인접 라우터를 감지하고 작동중인 라우터로 전환합니다.
라우터 로컬 주소를 사용하여 라우터를 고유하게 식별하면 (라우터 알림 및 리디렉션 메시지의 경우) 사이트 번호를 다시 매길 경우 새 전역 접두사를 사용하도록 호스트가 라우터 연결을 유지할 수 있습니다.
홉 제한을 255로 설정하면 Neighbor Discovery는 우연히 또는 의도적으로 ND 메시지를 보내는 오프 링크 발신자에게 영향을 미치지 않습니다. IPv4에서 오프 링크 발신자는 ICMP 리디렉션 및 라우터 알림 메시지를 모두 보낼 수 있습니다.
ICMP 계층에 주소 확인을 배치하면 프로토콜이 ARP보다 미디어에 독립적이되고 일반 IP 계층 인증 및 보안 메커니즘을 적절하게 사용할 수 있습니다.
NDP 에는 다음을 포함하여 ARP 보다 많은 기능이 있습니다 .
NDP를 통해 네트워크의 장치는 MAC / 링크 계층 주소 (ARP와 동일한 기능)를 확인할 수 있습니다.
NDP를 사용하여 네트워크의 장치는 외부 네트워크의 다른 장치에 도달하기위한 경로를 찾아서 대상 장치에 가장 적합한 라우터를 찾습니다.
NDP는 IPv6 주소의 자동 구성을 가능하게합니다.
ARP와 비교하면 메커니즘이 다릅니다.
ARP는 브로드 캐스트 메시지를 사용하고 NDP는 멀티 캐스트 ICMPv6 메시지를 사용합니다.
장치는 "Neighbor Solicitation ICMP Message"또는 NS 라는 멀티 캐스트 메시지를 보냅니다 . 대상 장치는 "이웃 광고 ICMP 메시지"또는 NA로 응답합니다 .
NS 메시지는 요청 된 노드 멀티 캐스트 주소라고하는 특수 멀티 캐스트 대상 주소 를 사용하며 IPv6 주소의 마지막 24 비트가 동일한 모든 호스트를 나타냅니다. 브로드 캐스트 대신 멀티 캐스트를 사용하면 네트워크에서 불필요한 트래픽의 흐름이 줄어 듭니다.
ARP 대신 NDP를 도입 한 것은 IP를 중심으로 제어 프로토콜을 통합하려는 욕구 때문이었습니다. IPv4는 ICMP, IGMP 및 ARP / RARP와 같은 여러 제어 프로토콜을 사용합니다. IPv6 NDP (ARP의 성공)와 MLD (IMGMP의 성공)는 ICMPv6의 하위 프로토콜로 설계되어 단 하나의 제어 프로토콜 만 있습니다. 이에 대한 보안 이유는 없었으며 ND는 ARP만큼 스푸핑에 취약하며 ND는 보안을 위해 설계되지 않았습니다.
IPv6의 개발 초기에는 IPsec은으로 간주되었다일반적인 보안 조치이므로 필수입니다. 그러나이 요구 사항은 권장 사항으로 다운 그레이드되었습니다 (RFC 6434, 나는 주로 공개 키 계산을 수행 할 수없는 임베디드 장치와 IoT로 인해 믿습니다. 어쨌든) ND 보안을 위해 (정말로 말하면) 제대로 작동하지 않습니다. SeND는 ND에 보안을 도입하기 위해 도입되었지만 소급 보안 소프트웨어 설계에서 사실상 모든 이전의 시도에서 결과는 최적보다 떨어졌습니다. SeND의 구현이 아직 없기 때문에 일부 실험적 저장은 저장되지 않으므로 모든 실제 목적으로 SeND는 존재하지 않습니다. 또한 SeND는 적어도 현재의 형태로는 절대로 해제되지 않을 것이라고 믿을만한 이유가 있습니다.
반면, SAVI는 더 유망 해 보이지만 스위칭 인프라를 변경해야하며 SAVI 지원 장비는 가격이 저렴하지 않으므로 빠르게 확산되지 않습니다. SAVI는 사이트 내에서 HW 주소 (예 : MAC 주소)와 IP 주소 사이의 매핑이 합법적이므로 "알려져"있어야하므로 가짜 NDP 메시지를 식별하고 제거 할 수 있어야합니다.
가장 좋은 레시피는 가장 간단한 레시피이지만 간과되는 경우가 많습니다. ARP 및 ND 스푸핑은 동일한 LAN의 대상에 대해서만 작동하기 위해 큰 LAN을 작은 LAN으로 나누십시오. 따라서 신뢰할 수없는 장치를 자체 LAN 세그먼트 (방화벽 / 필터링 규칙 필요 없음)에 배치하면 공격 영역이 크게 줄어 듭니다.