| 제목 | 내용 | |
|---|---|---|
| ARP 스푸핑 | ARP 스푸핑은 MAC 주소를 속여 랜에서의 통신 흐름을 왜곡시키는 공격이다. 공격 대상 컴퓨터와 서버 사이의 트래픽을 공격자의 컴퓨터로 우회시켜 패스워드 정보등 원하는 정보를 획득 할 수 있다. | |
| 2 | IP 스푸핑 | IP 스푸핑은 IP 자체의 보안 취약성을 악용한 것으로 자신의 IP주소를 속여서 접속하는 공격이다. IP 스푸핑을 통해 서비스 거부 공격도 수행 가능하며 공격 대상 컴퓨터와 서버사이의 연결된 세션을 끊을수도 있다. |
| DNS 스푸핑 | DNS 프로토콜은 인터넷 연결시 도메인 주소를 실제 IP 주소로 대응시켜 주는 프로토콜이다. 정상적인 접속에서는 사용자가 접속하고자 하는 사이트에 대한 IP주소를 DNS서버에서 받아와야 한다. 그러나 공격자가 DNS서버를 장악하거나 사용자와 DNS사이의 트래픽을 스니핑하여 공격자가 설정한 임의의 IP주소를 사용자에게 보내 원하는 사이트로 이동시키는 것과 같은 공격이 DNS스푸핑이다. | |
| Sniffing | Sniffing이란단어의사전적의미는 ‘코를킁킁거리다’, ‘냄새를맡다’ 등의뜻이있다. 사전적인의미와같 이해킹기법으로서스니핑은네트워크상에서자신이아닌다른상대방들의패킷교환을엿듣는것을의 미한다. 간단히말하여 네트워크트래픽을 도청(eavesdropping)하는과정을스니핑이라고할수있다. 이런 스니핑을할수있도록하는도구를스니퍼(Sniffer)라고하며 스니퍼를설치하는과정은 전화기도청장치 를설치하는과정에 비유될 수 있다. TCP/IP 프로토콜은학술적인용도로인터넷이시작되기이전부터설계된프로토콜이기때문에보안은크 게고려하지않고시작되었다. 대표적으로패킷에대한암호화, 인증등을고려하지않았기때문에데이터 통신의보안의기본요소중기밀성, 무결성등을보장할수없었다. 특히스니핑은보안의기본요소중기 밀성을해치는공격방법이다. 이러한스니핑공격은웹호스팅, 인터넷데이터센터(IDC) 등과같이여러업체가같은네트워크를공유하 는환경에서는매우위협적인공격이될수있다. 하나의시스템이공격당하게되면그시스템을이용하는 네트워크를도청하게되고, 다른시스템의 User ID/Password를알아내게된다. 비록스위칭환경의네트워 크를구축하여스니핑을어렵게할수는있지만이를우회할수있는많은공격방법이 있다 | |
| 허브환경에서의스니핑 | 허브(Hub)는기본적으로들어온패킷에대해패킷이들어온포트를제외한모든포트에대해패킷을보내는 리피터장비이다. 만약기업에서허브를사용하고있고 기업의시스템이 그허브에 연결되어있다면 원하던 원치않던간에 계속하여 다른사람의 패킷들을 받아보고 있었던것이다 | |
| 스위치환경에서의스니핑 | ||
| (1) Switch Jamming | 스위치는원래앞서말한바와같이실제수신대상으로만패킷을보내는브리지장비이다. 그러나엉뚱한 MAC 주소를가진패킷을계속하여보냄으로써스위치가허브처럼동작하도록만들수있다. 많은종류의 스위치가주소테이블이가득차게되었을때패킷을모든포트로브로드캐스팅하는성질을이용한것이다 | |
| (2) ARP Redirect | 대표적인툴로 Dsniff와같은툴이이방법에의한스니핑을제공한다. 네트워크상에서패킷이보내질때목 적지의 IP 주소를갖고해당목적지가 어떤 MAC 주소를사용하는지를요청하는데이를 ARP request라고 한다. ARP request는네트워크상에브로드캐스팅되어모든호스트가그패킷을받게되고 해당 IP를가진호스트 는그런 IP를사용하는것은나라고 ARP reply를주게된다. | |
| (3) ICMP Redirect | ICMP 프로토콜은네트워크상의오류메시지전송, 트러블슈팅등을위해사용되는데그중 ICMP Redirect 메시지를이용한 스니핑방법이며일단기본적으로는 ARP Redirect의경우와마찬가지로공격대상시스 템으로패킷이오도록만드는것이다. 네트워크상에 라우터가 여러대존재할때 비효율적인라우팅경로 가존재한다면(즉 1 hop 만으로보낼수있는데 3 hop으로보내게설정되었다든지) 라우터에대해이를수 정할것을권고하는 ICMP Redirect 메시지가보내진다. 공격자는이를악용한 ICMP Redirect 메시지를보 냄으로써패킷이자신으로보내지도록한다. | |
| (4) ICMP Router Advertisement | 특정호스트가자신이라우터라고다른호스트들에대해알리는메시지이다. 공격자는이를악용하여다른 호스트들이자신을라우터로생각하게하여패킷이자신으로보내지도록한다. | |
| 스푸핑(Spoofing) | Spoof란단어의사전적의미는 'hoax; trick; swindle 골탕먹이다.; 속여먹다.; 야바위(치다), 우롱, 사취'이다. 즉해커가악용하고자하는호스트의 IP 어드레스를바꾸어서이를통해해킹을하는것을 IP 스푸핑이다. 네트워크시스템에서서로신뢰관계에있는 A, B 두시스템간에는 A 시스템의어카운트를가지고 B 시스 템을액세스할수있다. 이는네트워크에서신뢰관계를형성하는서비스가네트워크주소에기반하여이 를인증하기때문이다. 이로인해 IP 스푸핑이가능해진다. IP 스푸핑은이신뢰관계에있는두시스템사 이에서해커의호스트를 마치하나의신뢰관계에있는호스트인것처럼속이는것이다. 또한 IP 스푸핑과 항상연동돼사용되는공격법으로 TCP sequence number guessing attack을들수있다. | |
| (1) IP 스푸핑 | IP 스프핑은말그대로 IP 정보를속여서다른시스템을공격하는것이다. IP 스프핑을통해서비스거부공 격(TCP Syn flooding, UDP flooding, ICMP flooding)을수행할수도있으며, 공격대상컴퓨터와서버사이의 연결된세션에대해서세션끊기도가능하다. | |
| (2) DNS 스푸핑 | DNS 프로토콜은인터넷연결시도메인주소를실제 IP 주소로대응시켜주는프로토콜이다. 인터넷연결시 사용하는 DNS 서버가 IP 주소를찾아달라는요청을받았을때, 자기자신의도메인이아닌주소에대해서 는보다상위단의 DNS 서버로부터재귀적(recursive)인방식으로 IP 주소를찾아알려준다. 만약해커가어 떤도메인의 DNS 컴퓨터를장악하여통제하고있다면최종적으로얻어진 IP 주소는원래사용자가찾아 가고자하였던홈페이지가아닌다른홈페이지로연결되게된다. 이는요청을발송했던 DNS와응답을주 는 DNS 사이의트래픽을해커가스니퍼링함으로써 Query ID라는값을통해해커의사이트 IP를최종응답 으로넘겨주도록하는것이다. 사용자가쇼핑몰을이용하고자하였다면해커에의해조작된홈페이지내 에서자신의아이디와필드, 신용카드정보를기입함으로써개인정보를탈취당할수있다. 위와같은스 니핑공격들은실제로인터넷상의툴로써공개가되어있으며여러가지다른복합적인공격과같이사용 될수있다. | |
| 3) ARP 스푸핑 | 공격대상컴퓨터와서버사이의트래픽을해커자신의컴퓨터로우회시킬수있다. 우회된트래픽으로부 터해커는패스워드정보등유용한정보를마음껏획득할수있다. | |
| 4) E-mail 스푸핑 | 이메일발송시송신자의주소를위조하는것이다. 요즘들어서극성인대량의스팸메일과바이러스감염 메일은송신자의주소가 아예존재하지않는이메일주소를사용한다. 또한이메일을발송한메일서버또 한직접적인메일발송서버가아닌중계서버이므로메일을발송한자를추적하기란쉽지않다. | |
| 스푸핑을막기위한대책 | (1) 암호화된 Protocol을사용 - 속도가느려지고사용이아직보편화되어있지않다. (2) IP로인증하는서비스는사용하지않음 - 사용이상당히불편해진다. (3) Router에서 source routing을허용하지않음 - 내부사용자끼리의 IP Spoofing은막을수없다. (4) Sequence number를 Random하게발생시키도록함 - Sequence number를 sniff할수있는경우에는막을수없 다. (5) DoS가발생하지않도록함 - IP Spoofing의시작은 DoS이다. |