스푸핑(Spoofing)

스푸핑(Spoofing)

- 인터넷이나 로컬에 존재하는 모든 연결에 스푸핑 가능

- 속이다 → IP주소(IP Spoofing). MAC주소(MAC Spoofing). DNS주소(DNS Spoofing)

- 정보를 얻거나 시스템을 마비시키는 용도

 

 

스푸핑 공격 대비책

- 관리하는 시스템의 MAC 주소를 확인하여 테이블로 만들어 둠

- 브로드캐스트 ping을 네트워크에 뿌려 그에 답하는 모든 시스템에 대한 MAC 주소 값을 시스템 캐시에 기록

- arp -a로 현재 IP 주소 값과 MAC 주소를 비교하여 엉뚱한 MAC 주소로 매핑되어있는 항목 확인

 

 

ARP Spoofing(ARP 스푸핑)

º MAC 주소를 속임(2계층에서 작동하므로 공격대상과 같은 랜에 있어야 함)

  - 브로드캐스팅 트래픽이 제한되는 이더넷 스위치를 사용하는 IP기반 LAN환경에서는 도청하기가 어려움

  - 스위칭 환경에서 가능한 공격: 피해자 ARP Cache 정보 변조 공격. ARP Cache Poisoning.

º 같은 LAN 상에 연결된 호스트 대 호스트 간 공격

  - 공격자는 ARP 브로드캐스팅 패킷을 보내 피해자 주소정보(IP, MAC)를 알아냄

  - 공격자는 자신의 MAC 주소로 위조된 ARP Reply 패킷 전송 → 피해자 ARP Cache 수정

 

 

IP Spoofing(IP 스푸핑)

º IP 주소 속이기

  - 최근 SSH 사용 권고로 IP 스푸핑 공격 불가

  - 네트워크 접근 통제: 식별(Identification), 인증(Authentication), 인가(Authorization)

  - ACL(Access Control List): 라우터 통과 패킷 필터링(네트워크 접근통제 목록)

º 신뢰관계(Trust) 깨는 공격 기법

  - 신뢰관계: 시스템에 접속할 때 자신의 IP주소로 인증(기기인증)하면(스니핑을 이용한 계정유출 방지 위해) 로그인없이 접속 가능 → IP만 일치하면 인증 우회 가능

  - SSO(Single Sign On): 인증 한번만으로 여러 서비스 사용 가능

º 공격자가 자신의 IP주소를 클라이언트 IP 주소(서버와 신뢰 관계)로 변경

  - IP 프로토콜 인증 취약점 이용: IP Source 주소로 식별하고 인증 (암호화 과정이 없고, IP 헤더 변경 가능)

    → IP 트러스트 인증 메커니즘 우회

  - IP Sequence 번호로 세션을 인증 → 세션 가로채기 등 취약

  - 스니핑 공격이 선행되고 발생

 

 

IP 스푸핑 보안 대책

- 트러스트 기능 사용하지 않기(불가능)

- 트러스트를 사용해야 한다면, 트러스트된 시스템의 MAC 주소를 static으로 지정(고정). IP 주소로 인증하는 R-서비스 사용 자제

- 외부에서 들어오는 패킷 중 내부망 IP 주소를 출발지 IP 주소로 가지고 있는 패킷을 라우터에서 필터링

- 순서번호를 무작위로 발생

- 서비스거부공격(ex. SYN Flooding) 취약성 제거

- 암호화된 프로토콜 사용

 

 

DNS Spoofing(DNS 스푸핑)

※ 파밍 공격: DNS 프로토콜 취약성 악용

   ① 클라이언트가 DNS 서버로 DNS Query 패킷을 보내는 것을 확인(ARP 스푸핑과 같은 선행 작업 필요)

   ② 공격자는 DNS 서버가 올바른 DNS Response 패킷을 보내주기 전에 위조된 DNS Response 패킷을 클라이언트에게 보냄

   ③ 클라이언트는 공격자가 보낸 DNS Response 패킷을 올바른 패킷으로 인식하고 웹에 접속

 

 

DNS 스푸핑 보안 대책

- hosts 파일에 중요한 사이트의 IP주소를 적어둠

- DNS서버에 대한 DNS 스푸핑 공격 방지: BIND(Berkeley Internet Name Domain) 최신 버전 유지

 

 

공부하면서 학습 목적으로 작성한 포스팅이므로 내용이 완전하지 않습니다ㅠ 
계속해서 학습 후 지식이 좀 더 쌓이면 수시로 수정해나갈 예정입니다! 
틀린 내용은 둥글게 댓글 달아주시면 빠른 확인 후 수정하겠습니다. :)