ARP 방어
ARP 스푸핑은 IP-MAC 매핑을 오염시킨다
공격자가 위조 ARP 메시지를 보내면 피해자는 게이트웨이 IP를 공격자 MAC으로 기억할 수 있다. DAI와 DHCP 스누핑은 이 매핑을 검증하는 방어선이다.
위조 ARP로 게이트웨이 IP를 공격자 MAC에 연결
DAI는 바인딩 테이블이나 정적 항목으로 ARP를 검증
DHCP 스누핑 바인딩은 DAI와 IP Source Guard의 기준 데이터
오염 전후
피해자 ARP 캐시
정상→192.168.10.1
aa:aa:aa:aa:aa:aa
aa:aa:aa:aa:aa:aa
스푸핑 후→192.168.10.1
66:66:66:66:66:66
66:66:66:66:66:66
Victim게이트웨이를 공격자 MAC으로 기억
→
Attacker중간자 위치 확보 시도
검증 흐름
DAI + DHCP 스누핑
정상 할당IP, MAC, VLAN, 포트 기록
→
Binding TableIP ↔ MAC ↔ Port
→
ARP 검사맞으면 전달, 틀리면 폐기
TrustedDHCP 서버 방향
서버성 DHCP 메시지를 허용한다.
Untrusted클라이언트 포트
가짜 DHCP 응답과 잘못된 ARP를 차단한다.
정적 항목예외 매핑
고정 IP 단말은 정적 바인딩이나 ARP ACL로 보완한다.
한계: HTTPS/TLS는 애플리케이션 데이터 내용을 보호하지만, ARP 스푸핑 자체나 로컬 네트워크 가용성 문제를 없애지는 않는다.