arp spoofing는 2계층 맥주소를 속여서 트래픽을 스니핑하고 2계층은 서로 다른 네트워크로는 라우팅이 되지 않고 공격 대상도 동일 네트웍에 있어야 한다. 하지만 내부에서 외부로 나갈때만해당이되고 라우터를 통해 피해자 피씨로 나가는것은 라우터캐시에 정상적으로 저장 되어 있기 때문에 공격자에게 오지 않는다 따라서 라우터 캐시 정보도 변경한다 <--쫌 말이 안맞는것 같아서요 2계층에서만 동작하고 같은 네트웍에서만 가능하다고 해놓고 왜 밑에는 라우터까지 캐시 정보를 변경해야 공격자한테 패킷이 온다고 하는지 궁금합니다. 같은 네트웍(같은 네트웍 그룹 같은 대역대 인 것만 스니핑 할수있다 )에서만 가능하다는말 아닌가요?그럼 구지 라우터 캐시까지 변경해야 하는지가 궁금하고 위쪽에 설명이랑 아래쪽에 설명이 쫌 이해가 안되네요<p><img src='https://t1.daumcdn.net/cfile/cafe/220BDB37535E01D02D' class='txc-image' /></p>
<!-- -->
첫댓글위 예는 희생자 PC에서 라우터를 통해 외부로 나가는 패킷을 스니핑하기 위해 공격자가 라우터의 MAC주소를 공격자의 MAC주소로 변조한 것입니다. 그런데 이렇게만 하면 "희생자-->공격자-->라우터" 방향으로 외부로 나가는 패킷은 스니핑을 가능하지만 라우터-->희생자로 들어오는 패킷은 스니핑 할 수 없습니다. 왜냐하면 라우터의 ARP 캐시정보에 있는 희생자의 MAC주소는 정상적인 희생자 주소이기 때문입니다. 따라서 라우터를 통해 희생자의 PC로 들어오는 패킷도 스니핑을 할려면 라우터의 캐시에 있는 희생자의 MAC주소를 공격자의 MAC주소로 변조를 하고 이를 forwarding해 주어야 합니다.
첫댓글 위 예는 희생자 PC에서 라우터를 통해 외부로 나가는 패킷을 스니핑하기 위해 공격자가 라우터의 MAC주소를 공격자의 MAC주소로 변조한 것입니다. 그런데 이렇게만 하면 "희생자-->공격자-->라우터" 방향으로 외부로 나가는 패킷은 스니핑을 가능하지만 라우터-->희생자로 들어오는 패킷은 스니핑 할 수 없습니다.
왜냐하면 라우터의 ARP 캐시정보에 있는 희생자의 MAC주소는 정상적인 희생자 주소이기 때문입니다. 따라서 라우터를 통해 희생자의 PC로 들어오는 패킷도 스니핑을 할려면 라우터의 캐시에 있는 희생자의 MAC주소를 공격자의 MAC주소로 변조를 하고 이를 forwarding해 주어야 합니다.