Spoofing

  • 사전적 의미는 ‘속이는 것’, 자신을 숨기는 행위(위장)를 의미
  • MAC 주소, IP 주소, 포트 등 네트워크 통신과 관련된 모든 것이 스푸핑의 대상이 될 수 있음

ARP 스푸핑

MAC 주소를 속이는 것

  • 공격자의 MAC 주소를 로컬에서 통신하고 있는 서버와 클라이언트의 MAC 주소로 속여, 클라이언트에서 서버로 가는 패킷이나 서버에서 클라이언트로 가는 패킷을 공격자에게 향하게 함
  • 공격자가 이 패킷을 읽으면 정상 목적지로 돌려보내 연결이 끊어지지 않도록 유지하는 공격

a1.png

공격자가 서버와 클라이언트의 통신을 스니핑하려고 ARP 스푸핑 공격을 시도한 예

  • 명호가 철수와 영희의 대화를 도청하는 중
    1. 명호는 영희에게 10.0.0.2에 해당하는 가짜 MAC
    주소 CC를 알리고 철수에게는 10.0.0.3에 해당하는 가짜 MAC 주소 CC를 알린다. 2. 명호가 철수와 영희 컴퓨터에 서로 통신하는 상대방을 자기 자신으로 알렸기 때문에 철수와 영희는 공격자에게 각각 패킷을 보낸다. 3. 명호는 철수와 영희로부터 받은 패킷을 읽은 후 철수가 영희에게 보내려던 패킷은 영희에게 보내주고 영희가 철수에게 보내려던 패킷은 철수에게 보내준다.

공격 후 패킷의 흐름 변화 a2.png

IP 스푸핑

a3.png

  • IP주소를 속이는 것
  • 다른 사용자의 IP를 강탕해 특정 권한을 획득
  • IP 스푸핑이란 케빈 미트닉의 공격을 일컫는 것이 정석
  • TCP 세션 하이재킹을 IP 스푸핑이라고 부르기도 함.

트러스트

  • 클라이언트의 정보를 서버에 미리 기록해두고 합당한 클라이언트가 서버에 접근하면 아이디와 패스워드의 입력 없이 로그인을 허락하는 인증법
  • 예) 파티 주최자가 친분이 있는 사람은 초대장을 확인하지 않고 그냥 들여보내주는 것

🏴‍☠️ 트러스트의 치명적 약점
스니핑은 막을 수 있었으나 IP만 일치하면 인증을 우회할 수 있다는 치명적 약점 존재
-> IP 스푸핑에 취약

SSO(Single Sign On)의 사용

a4.png

  • 트러스트에 대한 치명적인 약점이 알려지면서 SSO가 개발되어 사용됨

DRDoS(Distributed Reflective Denial of Service)

a5.png

DNS 스푸핑

  • 웹 스푸핑과 비슷한 의미
  • DNS 스푸핑은 실제 DNS 서버보다 빨리 공격 대상에게 DNS Response 패킷을 보내, 공격 대상이 잘못된 IP 주소로 웹 접속을 하도록 유도하는 공격

DNS 쿼리는 누구나 볼 수 있기 때문에 같은 서브넷에서 공격자가 먼저 DNS Response를 클라이언트에게 보내면 위조된 웹서버로 접속시킬 수 있음.

보안대책 - hosts 파일

hosts 파일에 중요 사이트의 IP 주소를 적어두면 그 사이트에 대해서는 DNS 스푸핑 공격을 당하지 않음

BIND 최신 버전 업데이트

BIND(Berkeley Internet Name Domain)의 최신 버전 업데이트는 DNS 스푸핑을 방어하는 데 도움이 됩니다. 최신 버전은 보안 취약점을 패치하고 새로운 보안 기능을 추가하기 때문에, 시스템을 최신 상태로 유지하는 것이 매우 중요합니다.

BIND란 무엇인가?
BIND는 가장 널리 사용되는 DNS(Domain Name System) 소프트웨어다. 1980년대에 UC Berkeley에서 개발되었으며, 현재는 Internet Systems Consortium(ISC)에 의해 관리되고 있다. BIND는 인터넷 상의 도메인 이름을 IP 주소로 변환하는 데 사용되는 주요 소프트웨어 중 하나로, 많은 운영 체제와 네트워크 환경에서 사용되고 있다.

Email 스푸핑

  • 해커들이 특정 이메일 서버를 해킹하여 공격
  • 원인: 특정 주소로 이메일을 보내는 것이 그 메일의 소유자만이 가능하다는 생각에서 비롯
  • 조작이 가능한 이메일 주소