1. ARP(Address Resolution Protocol)
- 네트워크에서 IP주소를 MAC 주소로 변환하는데 사용되는 프로토콜
- ARP를 통해 네트워크상의 장치들이 서로 통신할 수 있음
다른 장치로 패킷을 보내는데 다른 장치의 IP 정보를 모를 경우 우선 브로드캐스트로 연결된 모든 장치에 패킷을 전달하여 네트워크를 확인한 후 해당 장치와 IP, MAC주소를 ARP 테이블에 저장하여 이후 해당 네트워크로 패킷을 전송할 때 저장된 ARP 정보를 토대로 패킷을 주고받을 수 있음
1-1. 패킷트레이서에서 ARP 실습
아래 이미지로 네트워크 구성 및 MAC 주소 설정
1. 우선 나의 ip와 맥주소 확인
ipconfig -all
2. 같은 네트워크에 있는 다른 pc에서 맥주소 확인
arp -a
3. 나의 ip와 상대방의 pc에 표시된 ip의 맥주소가 일치하는지 확인
기본적으로 처음 pc에서 arp 테이블을 확인하면 데이터가 없다고 나옴
- 패킷이 발생한 적이 없기 때문
ping을 사용해 패킷을 주고받았기에 arp 테이블에 정보가 입력된 것을 확인할 수 있음
2. 명령어
2-1. 모든 장치의 MAC 주소를 확인할 때 사용하는 명령어
arp -a
스위칭(mac address table) : 스위치에서 이뤄지는 동작
라우팅(routing table) : 라우터에서 이뤄지는 동작
스위칭과 라우팅 모두 스위칭이라고 할 수 있음
스위치에서 sh mac address-table을 사용하여 확인할 수 있음
스위치에서 학습된 mac 정보 지우는법
1. 시간이 지나면 자연적으로 없어짐
2. clear mac address-table
arp 정보가 없는 상태에서 ping 보내려고 하면 연결된 모든 사람들에게 보냄(브로드캐스트)
arp를 사용하여 정보를 빼갈 수 있음
arpspoofing - mitm 공격이라고 할 수 있음
pc에서 trace + rt = tracert 하면 라우터 실습시 사용???? 핑 테이블같은거라고?
pc에서는 ping을 보낸 후 arp -a 를 사용하여 arp 테이블 확인
ipconfig /all
라우터에서는 sh arp = sh ip arp 를 사용해 arp 테이블 확인 가능 (ip와 맵핑되는 mac주소 확인 가능)
bia(burn in address) 처음 태어났을 때의 ip 즉 공장에서 만들어졌을 때의 ip값을 의미
스위치에서는 sh mac address-table 을 사용하여 확인 가능
스위치의 맥주소는 sh int f0/3을 통해 확인 가능
- 각 PC, 라우터
1) MAC 주소 확인: ipconfig /all , sh int f0/0
2) ARP Table 확인: arp -a , sh ip arp - 스위치: mac address table 확인
-> sh mac address-table
네트워크 구성 실습
도커에서 ip 확인하는건 ifconfig eth0 을 입력하여 ip, mac주소 확인 가능
arp 입력해서 arp 테이블 확인
칼리리눅스
arpspoof - 이미 설치되어 있음
apt update
(업데이트 안돼면 hping3 -1 8.8.8.8 해보기)
apt install net-tools -> ifconfig
apt install iputils-ping -> ping
apt install arping -> arping
(arping -i eth0 10.1.1.254, arp)
apt install netdiscover -> netdiscover
(netdiscover -r 10.1.1.0/24 - 범위를 지정하여 네트워크 장비 탐지)
(10.1.1.1 ~ 10.1.1.254 까지 broadcast로 ip를 다 보내서 누가 어떤 ip를 가지고 있는지 확인)
- 모든 스위치에서 telnet 서버 설정
- ccnp, 15, cisco
- NetAuto에서 telnet 접속 확인
스위치
conf t
username ccnp privilege 15 password cisco
line vty 0 4
login local
transport telnet ssh
netauto
ping 스위치 ip
telnet 스위치 ip
