정보보호개론 9주차

스푸핑

- 네트워크 보안 분야 : 공격자가 마치 공격 대상자인 것 처럼 행세하는 것

ex) 수신자 행세, 송신자 행세 가능

2계층 공격 : 공격자가 같은 스위치 내에 존재

- ARP 스푸핑 // 같은 스위치 내에서만 공격가능

3,7계층 공격 : 공격자가 내부 네트워크 및 외부 네트워크에서도 공격 가능

- 3계층 : IP 스푸핑, ICMP 리다이렉트

- 7계층 : DNS 스푸핑

 

ARP 스푸핑 (같은 스위치 내에 연결)

- 공격자가 공격 대상자의 MAC주소(2계층 : 물리적 주소)를 가로채는 공격

-> IP주소(3계층)로 보내더라도 내부적으로는 MAC주소(2계층)으로 변환되어 전송

- ARP(Address Resolution Protocol)

- MAC 주소를 결정(Resolution)하기 위한 통신 프로토콜

- IP주소를 MAC주소(하드웨어 주소)로 변환하는 역할

-> 하드웨어 주소 : 네트워크 카드별로 부여되는 고유 번호

같은 로컬 네트워크에 단말이 있는 경우

1. 단말 A : 단말 B의 MAC 주소를 몰라 스위치로 ARP 요청(ARP Request)을 보냄

2. 스위치 : ARP 요청을 전달받으면, 자신에게 접속된 모든 단말에게 ARP 요청을 브로드 캐스트 방식으로 전송

3. 단말 B : ARP 요청을 전달받은 단말 중 실제 요청한 IP주소를 가진 단말이 있다면 이 단말은 ARP 응답을 보냄

4. 단말 A : ARP응답(ARP Reply)을 받아 자신의 ARP 테이블에 B의 MAC 주소 추가

외부 네트워크에 단말이 있는 경우

- 외부 네트워크의 통로가 되는 게이트웨이의 MAC주소가 해당 IP의 MAC주소로 설정

핵심 : 공격자가 스위치 내의 다른 단말에 가짜 ARP 응답을 보내는 것

-> ARP 요청이 오지 않았는데도 ARP 응답을 지속적으로 다른 단말에게 보낸다

=> 어쩌다 ARP 요청하면 공격자의 ARP 응답이 먼저 반응 (공격자 MAC주소를 ARP테이블에 반영)

 

ARP 스푸핑의 현상과 탐지 방법

1) 지속적인 ARP 응답 발생 : 와이어샤크같은 패킷 분석 프로그램 이용

-> ARP 응답으로 IP주소에 해당하는 기존 MAC주소와 다른 새로운 MAC주소가 전달

2) ARP 테이블에 중복된 MAC 주소 확인

-> 명령어 arp -a실행

3) ARP 테이블 감시 프로그램 활용

4) 네트워크 속도 저하

 

ARP 스푸핑 방지 대책

1) 정적인 ARP 테이블 관리

- arp - s [IP주소] [MAC주소]

-> 단, 현실적으로 어려움 : 관리 비용의 증가

=> 단말 추가, 변경 시 게이트웨이 ARP 테이블을 수정해야한다.

=> 웹 서버 같이 중요 단말을 묶어 별도 서브 네트워크 구성, 이들만 정적인 ARP 테이블을 관리

2) PC 와 서버의 보안 수준 강화

 

IP 스푸핑 : 공격자의 IP주소를 다른 IP 주소로 속이는 공격 (3계층 -> 외부 네트워크에서 공격 가능)

-> 핵심 : 자신이 보내는 메시지 안의 IP 주소를 변조 (IP 헤더 정보에 저장된 출발 IP 주소(Source Address)변조

 

- IP 스푸핑이 위협적일 수 있는 상황

1) IP 주소가 인증의 수단일 때 -> B가 IP주소 IP(A)인 모든 요청을 인증 절차 없이 허용

- 공격자는 DDOS 공격으로 서버 A를 동작 불능으로 만듦

-> 출발 IP 주소를 IP(A)로 변조한 메세지를 서버 B로 보냄

-> 서버 B는 출발 IP가 IP(A)인 공격자 메세지를 인증 절차 없이 허용

 

IP 스푸핑의 합법적 사용 : 웹 성능 테스트 프로그램

- 내부적으로 IP 변조 기능 사용

-> 대량 가상 사용자 생성하여 마치 실제 사용자인 것처럼 시뮬레이션

-> 가상 사용자 별로 다른 IP주소 할당, 동시에 여러 사용자가 웹 사이트 정상적으로 이용하는 것을 확인

 

IP 스푸핑 방지 방법

- IP 주소 기반 트러스트 관계를 맺지 않음

-> 서버 클러스터링이 꼭 필요하면 트러스트 관계의 서버들의 보안 수준 강화

- 패킷 필터링

-> 게이트웨이 밖에서 시도되는 IP 스푸핑 공격 방지

-> 외부에서 내부로 전달되는 메세지 중 출발 IP가 내부 IP인 메시지 필터링

 

ICMP 스푸핑

- ICMP(The Internet Control Message Protocol)

-> 네트워크 상에 현재 오류가 없는지 진단 하거나 제어하는 목적으로 사용되는 프로토콜 (IP 프로토콜 약점 보안 목적)

- 목적 1 : 네트워크 진단

-> 네트워크 연결 여부 확인 : ping 또는 traceroute

- 목적 2 : 네트워크 흐름 통제

-> 게이트웨이가 2개인 네트워크 환경에서 게이트웨이의 IP 메세지 재전송

 

ICMP 스푸핑 개념

1. ICMP 리다이렉트 보내기 (스푸핑)

2. 단말 A에서 보낸 메세지는 공격자 I에게 먼저 전송

3. 스니핑 성공을 위해 기존 게이트웨이로 재전송

 

DNS(Domain Name Service : 도메인 네임 서비스) : UDP 통신 사용

- 접속하려는 URL 주소 이름으로 IP 주소를 구하는 서비스

 

DNS 스푸핑

- 공격 대상에게 전달되는 IP주소 변조, DNS 서버에 변조된 IP 주소가 저장되게 하여 공격 대상이 의도하지 않는 주소로 접속하게 한다. (엉뚱한 사이트로 접속하게함)

-> 일반 사용자가 공격을 당했는지 판단이 어렵다.

-> 보안 관련 절차라며 사용자 PC에 악성 코드 설치 유도 -> 추가적인 보안 사고 발생 가능