지난 시간에 이어 IP/ARP 스푸핑(Spoofing) 공격은 무엇이며 어떻게 실행되는지 알아보자
IP 스푸핑(spoofing)
해커가 자신의 인터넷 프로토콜(IP)을 악용하고자 하는 호스트의 IP 주소로 변조하여 공격하는 방법으로 IP 기반의 ACL통제를 회피할 수 있는 공격 방법으로 변조된 IP를 사용하기에 공격에 대한 추적이 어렵다.
TCP/IP의 구조적 결함을 이용한 공격 방법으로 신뢰 관계에 있는 두 시스템 사이에서 공격자의 호스트를 마치 하나의 신뢰 관계에 있는 호스트인 것처럼 속이는 것이다.
▣ 신뢰 관계(Trust Relationship)란?
스니핑을 이용한 계정 정보의 유출을 막기 위해 ID/PW을 사용하지 않고 특정 시스템의 IP와 신뢰관계(Trust Relationship)를 맺고 로그인 없이 접속을 로그인 없이 접속을 허락하는 것을 말한다.
▣ ACL (access control list)란?
라우터를 통과하는 패킷을 필터링 하는목록으로 네트워크에 대한 접근을 허용 또는 거부하는 기능이다.
▣ 공격방법
변조하고자 하는 클라이언트를 서비스 거부(DoS) 공격으로 동결시킨 후 진행되어야 한다.
클라이언트가 정상적으로 동작을 하는 경우 공격자는 서버와 세션을 연결할 수 없다.
- 공격자는 송신자 IP를 클라이언트 B의 주소로 변조 후 SYN 패킷을 서버에 보낸다.
- 서버는 클라이언트 B에게 ACK+SYN 패킷을 보낸다.
- 클라이언트는 B의 SYN을 보낸 적이 없으므로 RST 패킷을 보낸다.
- 서버와 클라이언트는 세션을 종료 한다.
먼저 서비스 거부(DoS) 공격으로 클라이언트 B를 동결시키면 IP스푸핑 공격으로 서버와 세션을 연결할 수 있다.
- 공격자는 클라이언트 B를 서비스거부(DoS) 공격으로 동결시킨다.
- 공격자는 송신자 IP를 클라이언트 B로 변조하여 SYN 패킷을 보낸다.
- 서버는 클라이언트 B에 ACK+SYN 패킷을 보내고 응답을 기다린다.
- 공격자는 Blind Attack 방식으로 ACK 패킷을 보낸다.
- 서버와 공격자에 세션이 연결된다.
TCP 시퀀스 번호를 알고 공격하는 것을 Non-Blind 공격이라 하고 모르고 공격하는 것을 Blind 공격이라고 한다.
ARP 스푸핑(spoofing)
네트워크의 물리적 주소(MAC)를 변조함으로써 네트워크 구간에서의 트래픽 흐름을 가로채거나 방해하는 공격 기법으로, 동일 네트워크(같은 빌딩, 아파트 등)에 존재하는 특정 서버의 IP를 공격자 자신의 랜카드 주소(MAC)로 연결해 다른 PC에 전달되어야 하는 정보를 중간에서 가로채기를 함으로써 공격이 수행된다.
▣ 공격 방법
ARP 스푸핑은 스위치 허브 환경에서 공격이 가능한 스니핑 공격이며, ARP cache 정보를 변조하여 공격한다고 하여 ARP cache poisoining이라고도 한다.
- 공격자는 ARP 브로드캐스팅 패킷을 보내 서버 B와, 서버 C의 IP주소와 MAC 주소를 알아낸다.
- 공격자는 자신의 MAC 주소로 변조된 ARP Reply 패킷을 보내 ARP cache을 수정하도록 한다.
- 공격자는 ARP cache가 사라지기 전에 ARP Reply 패킷을 지속적으로 보낸다.
- 서버 B와 서버 C의 모든 패킷은 공격자의 패킷으로 보내진다.
출처
'IT Technology > Network' 카테고리의 다른 글
MPLS란? (Multi Protocol Label Switching) (0) | 2022.02.23 |
---|---|
MTU (Maximum Transmission Unit 최대 전송 단위) 란? (2) | 2022.02.20 |
스푸핑 (Spoofing)공격 이란? (0) | 2022.02.18 |
Public IP, Private IP(공인IP, 사설IP) (0) | 2022.01.22 |
OSPF Protocol 대한 이해 (3) | 2022.01.12 |