arp -a
위 명령으로 Gateway의 IP Address와 MAC Address를 확인할 수 있다.
여러차례 확인을 하다가 다른 MAC Address가 나타나면 ARP Spoofing으로 생각할 수 있겠다.
이렇게 ARP Spoofing공격을 받는 경우 서버내의 웹사이트에 클라이언트가 접속할때 본래의 Gateway가 아닌 변조된 Gateway를 통해 데이터가 오가게되며 이때 해당 소스에는 iframe을 이용한 혹은 여러가지 방법의 다른 패킷이 심어질수도 있다.
클라이언트들은 자신들도 모르게 악성코드에 감염될수도 있는것이다.
서버에 iptables, mod_security등을 이용해 보안대책을 세우는 것이 좋지만 여의치 않을 경우 우선적으로 아래의 조치를 취할 수 있다.
먼저 서버의 원래 Gateway의 MAC Address를 알아내야 한다. IDC에 서버가 있는 경우 문의해보면 될 것이다.
그 후 다음의 명령을 서버의 상황에 맞게 실행해준다.
arp -s [Gateway IP Address] [Gateway MAC Address]
위 명령은 Gateway의 MAC Address를 static하게 설정해주어서 ARP Spoofing 공격이 들어와도 Gateway의 MAC Address가 변조되지 않도록 해준다.
다만 위 명령은 Rebooting 후에는 설정이 해제되므로 rc.local등에도 넣어주는 것이 좋겠다.
출저: http://guys0823.egloos.com/1403476
- HOME
- LINUX