동적 ARP 검사(DAI) 이해 및 사용

주소 확인 프로토콜

다중 액세스 네트워크에서 IP 패킷을 전송하려면 IP 주소를 이더넷 MAC 주소에 매핑해야 합니다.

이더넷 LAN은 ARP를 사용하여 MAC 주소를 IP 주소에 매핑합니다.

스위칭 디바이스는 패킷을 네트워크 디바이스로 전달할 때 참조하는 캐시에서 이 매핑을 유지합니다. ARP 캐시에 대상 디바이스에 대한 항목이 포함되어 있지 않은 경우 호스트(DHCP 클라이언트)는 해당 디바이스의 주소에 대한 ARP 요청을 브로드캐스트하고 응답을 캐시에 저장합니다.

ARP 스푸핑

ARP 스푸핑은 메시지 가로채기(man-in-the-middle) 공격을 시작하는 한 가지 방법입니다. 공격자는 LAN에 있는 다른 디바이스의 MAC 주소를 스푸핑하는 ARP 패킷을 보냅니다. 스위칭 디바이스는 적절한 네트워크 디바이스로 트래픽을 전송하는 대신 적절한 디바이스를 가장하는 스푸핑된 주소를 가진 디바이스로 트래픽을 전송합니다. 가장 디바이스가 공격자의 컴퓨터인 경우 공격자는 다른 디바이스로 이동했어야 하는 스위치에서 모든 트래픽을 수신합니다. 그 결과 스위칭 디바이스의 트래픽이 잘못 전달되어 적절한 목적지에 도달할 수 없습니다.

ARP 스푸핑의 한 유형은 네트워크 디바이스가 자체 IP 주소를 확인하기 위해 ARP 요청을 보내는 Gratuitous ARP입니다. 정상적인 LAN 작동에서 Gratuous ARP 메시지는 두 디바이스가 동일한 MAC 주소를 가지고 있음을 나타냅니다. 또한 디바이스의 NIC(네트워크 인터페이스 카드)가 변경되고 디바이스가 재부팅될 때 브로드캐스트되므로 LAN의 다른 디바이스가 ARP 캐시를 업데이트합니다. 악의적인 상황에서 공격자는 특정 IP 주소로 향하는 모든 패킷을 다른 MAC 주소로 이동하도록 지시하는 ARP 응답을 디바이스에 전송하여 네트워크 디바이스의 ARP 캐시를 감염시킬 수 있습니다.

Gratuitous ARP 및 기타 유형의 스푸핑을 통한 MAC 스푸핑을 방지하기 위해 스위치는 DAI를 통한 ARP 응답을 검사합니다.

동적 ARP 검사

DAI는 LAN에서 ARP 요청 및 응답을 검사하고 ARP 패킷을 검증합니다. 스위치는 액세스 포트에서 ARP 패킷을 가로채 DHCP 스누핑 데이터베이스에 대해 검증합니다. 데이터베이스에 ARP 패킷의 정보에 해당하는 IP-MAC 항목이 없으면 DAI는 ARP 패킷을 삭제하고 로컬 ARP 캐시는 해당 패킷의 정보로 업데이트되지 않습니다. 또한 DAI는 패킷의 IP 주소가 유효하지 않을 때 ARP 패킷을 삭제합니다. ARP 프로브 패킷은 동적 ARP 검사를 거치지 않습니다. 스위치는 항상 이러한 패킷을 전달합니다.

EX 시리즈 스위치 및 QFX 시리즈용 Junos OS는 액세스 포트에서 수신되는 ARP 패킷에 대해 DAI를 사용합니다. 이러한 포트는 기본적으로 신뢰할 수 없기 때문입니다. 트렁크 포트는 기본적으로 신뢰되므로 ARP 패킷은 트렁크에서 DAI를 우회합니다.

각 인터페이스(포트)가 아닌 각 VLAN에 대해 DAI를 구성합니다. 기본적으로 DAI는 모든 VLAN에 대해 비활성화되어 있습니다.

인터페이스를 DHCP 신뢰할 수 있는 포트로 설정하면 ARP 패킷에 대해서도 신뢰할 수 있습니다.

네트워크 디바이스가 연결된 스위칭 디바이스로 전달된 패킷의 경우 ARP 쿼리가 VLAN에서 브로드캐스트됩니다. 이러한 쿼리에 대한 ARP 응답은 DAI 검사를 받습니다.

DAI의 경우, 모든 ARP 패킷은 패킷 전달 엔진에 트랩됩니다. CPU 과부하를 방지하기 위해 라우팅 엔진으로 향하는 ARP 패킷은 속도가 제한됩니다.

DHCP 서버가 다운되고 이전에 유효한 ARP 패킷에 대한 IP-MAC 항목의 임대 시간이 만료되면 해당 패킷이 차단됩니다.

검사된 패킷 우선 순위 지정

CoS(class-of-service) 포워딩 클래스 및 큐를 사용하여 지정된 VLAN에 대한 DAI 패킷의 우선순위를 지정할 수 있습니다. 이러한 유형의 구성은 지정한 송신 대기열에 해당 VLAN에 대해 검사된 패킷을 배치하여 보안 절차가 우선 순위가 높은 트래픽의 전송을 방해하지 않도록 합니다.

목적

스위치에서 동적 ARP 검사(DAI)가 작동하는지 확인합니다.

행동

스위치에 연결된 네트워크 디바이스에서 일부 ARP 요청을 보냅니다.

DAI 정보를 표시합니다.

user@switch>                      show arp inspection statistics                              
ARP inspection statistics:
Interface        Packets received  ARP inspection pass   ARP inspection failed
---------------  ---------------   -------------------- ---------------------
ge-0/0/1.0                      7                    5                     2
ge-0/0/2.0                     10                   10                     0
ge-0/0/3.0                     12                   12                     0

의미

샘플 출력은 인터페이스당 수신 및 검사된 ARP 패킷 수를 보여주며, 각 인터페이스에서 통과된 패킷 수와 검사에 실패한 패킷 수를 나열합니다. 스위치는 ARP 요청 및 응답을 DHCP 스누핑 데이터베이스의 항목과 비교합니다. ARP 패킷의 MAC 주소 또는 IP 주소가 데이터베이스의 유효한 항목과 일치하지 않으면 패킷이 삭제됩니다.