[정보 보안] 스푸핑(Spoofing) 공격

ARP 스푸핑

> ARP (Address Resolution Protocol) Spoofing은 MAC 주소를 속이는 것.

즉, MAC주소를 속여 LAN에서의 통신 흐름을 왜곡시킨다.

공격자는 클라이언트와 서버에게 서로 통신하는 상대방을 공격자 자기 자신의 MAC 주소로 속인다.

이로 인해 서버와 클라이언트는 공격자에게 각각 패킷을 보낸다.

공격자는 각자에게 받은 패킷을 읽은 후 서버가 클라이언트에게 보내고자 하던 패킷을 클라이언트에게 보내고,

클라이언트가 서버에게 보내고자 하던 패킷을 서버에게 보내준다.

 

윈도우의 CMD에서 [ arp -a ] 명령을 이용해 ARP 테이블을 확인할 수 있다.

ARP 테이블에는 현재 인지하고 있는 IP와 해당 IP를 가지고 있는 시스템의 MAC 주소 목록을 확인할 수 있다.

ARP 테이블이 변경되지 않도록 [ arp -s (IP)(MAC) ] 명령으로 MAC 주소 값을 고정시키는 방법으로

ARP 스푸핑에 대응할 수 있다. (단, 시스템이 재부팅될 때마다 수행해줘야 한다.) ( -s : Static.)

 

IP 스푸핑

> IP (Internet Protocol) Spoofing은 IP 주소를 속이는 것.

유닉스 계열에서는 트러스트(Trust) 인증법( /ect/host.equiv 파일에 클라이언트 IP 및 접속 가능 아이디 추가)을 주로 사용하며, 윈도우에서는 트러스트 대신 액티브 디렉터리(Active Directory)를 주로 사용한다.

보통 공격은 트러스트로 접속하고 있는 클라이언트에 DoS 공격을 수행하여 클라이언트가 사용하는 IP가 네트워크에 출현하지 못하도록 한 뒤, 공격자 자신이 해당 IP로 설정을 변경한 후 서버에 접속하는 형태로 이루어지게 된다.

따라서 공격자는 패스워드 없이도 서버에 로그인할 수 있게 된다.

 

ICMP 리다이렉트

> ICMP (Internet Control Message Protocol) Redirect는 3계층에서 스니핑 시스템을 네트워크에 존재하는 라우터라고 알림으로써 패킷의 흐름을 바꾸는 공격이다.

호스트 A는 호스트 B로 데이터를 보낼 때 기본으로 설정된 라우터 A에 패킷을 보낸다.

라우터 A는 호스트 B로 보내는 패킷을 수신하고, 호스트 A에 ICMP 리다이렉트 패킷을 보내 호스트 A가 호스트 B로 보내는 패킷이 라우터 B로 바로 향하도록 한다.

따라서, 호스트 A는 라우팅 테이블에 호스트 B에 대한 값을 추가하고, 호스트 B로 보내는 패킷은 라우터 B로 전달한다.

공격자가 라우터 B가 되어 ICMP 리다이렉트 패킷도 공격대상에게 보낸 후 라우터 A에게 다시 릴레이시켜준다면 모든 패킷을 스니핑할 수 있게 된다.

 

DNS 스푸핑

> DNS (Domain Name System) Spoofing 실제 DNS 서버보다 빨리 공격 대상에게 DNS Response패킷을 보내, 공격 대상이 잘못된 IP 주소로 웹 접속을 하도록 유도하는 공격이다.

클라이언트가 DNS 서버에게 접속하고자 하는 IP 주소를 질의하려 DNS Query 패킷을 보낸다.

DNS 서버가 해당 도메인 이름에 대한 IP 주소를 클라이언트에게 보내주고, 클라이언트는 받은 IP 주소를 바탕으로 웹 서버를 찾아가게 된다.

클라이언트가 DNS 서버로 DNS Query 패킷 전송할 때 로컬에 존재하는 공격자가 DNS 서버보다 먼저 클라이언트에게 위조된 DNS Response 패킷을 보내게 되면, 클라이언트는 공격자가 보낸 DNS Response 패킷을 올바른 패킷으로 인식하고 웹에 접속한 후, 실제 정상적인 DNS Response 패킷은 버린다.