본문 바로가기
인터넷보안

스푸핑 (Spoofing)

Knote-Code 2025. 4. 11. 18:42

▶ Spoofing 

  • 사전적 의미 : 자신을 숨기는 행위(위장)
    - 속이는 것

 

※ 네트워크 상 Spoofing 공격 대상

  • MAC 주소, IP 주소, Port 등...
    네트워크와 관련된 모든 것

 

※ 대비책

  • 시스템의 MAC 주소 테이블 생성해 관리
  • 브로드캐스트 ping을 로컬 네트워크에 뿌리기 (fping, hunt 등 Tool 이용)
    • ping에 응답하는 시스템의 MAC 주소 값을 획득 가능
      이를 시스템 캐시에 기록 = ARP 테이블 생성
      arp -a 명령어를 통해 현재 IP 주소 ↔ MAC 주소 대칭 값 확인
    • 이 때의 IP 주소 = Router
      Router가 아닌 이상한 MAC 주소로 매핑되어있는 항목 확인
    • 이상한 MAC 주소를 생성해둔 테이블에서 확인하여 공격자 확인

 

▶ ARP 스푸핑 공격 및 보안 대책 

※ ARP 스푸핑 개념

  • 공격자의 MAC 주소를 로컬에서 통신 중인 서버 & 클라이언트의 MAC 주소로 속여,
    클라이언트 ↔ 서버 간의 패킷을 공격자에게로 향하게 한다.
  • 공격자는 패킷을 획득하고, 다시 패킷을 원래 목적지로 전송
    공격 받는 사실을 인식하기 힘들게 한다.

ARP 스푸핑

  • 클라이언트와 서버에게 각각
    클라이언트 : 서버의 MAC 주소를 공격자의 MAC 주소로 알려준다
    서버 : 클라이언트의 MAC 주소를 공격자의 MAC 주소로 알려준다

 

※ ARP 보안 대책

MAC 테이블의 static 설정

  1. arp -a 명령어로 현재 MAC 주소 테이블 확인
  2. 설정하고자 하는 IP 주소 & MAC 주소를 static으로 확인
    윈도우 서버 : arp -s <IP 주소> <MAC 주소>
    윈도우 : netsh interface ipv4 add neighbors <네트워크 인터페이스 이름> <IP 주소> <MAC 주소>
  3. 다시 arp -a 명령으로 MAC 주소 테이블 확인하면
    PERMPermanent 옵션 OR static이 추가된다.
    static으로 설정된 MAC 주소값은 ARP 스푸핑 공격 시에도 변경사항이 없다.

 

 

▶ IP 스푸핑 공격 및 보안 대책 

  • 다른 사용자의 IP를 획득, 특정 권한을 획득하는 것
  • 공격자는 트러스트 관계를 맺고 있는 서버&클라이언트를 확인,
    클라이언트에 DoS 공격을 통해 연결을 끊고,
    공격자가 획득한 클라이언트 IP를 통해 클라이언트인 척 PW 없이 서버에 접근

 

※ 트러스트

  • 클라이언트의 정보를 서버에 미리 기록
    이후 해당하는 클라이언트는 별도의 인증 없이 바로 로그인하는 방법

 

  • 트러스트 관계 형성 시 주로 사용하는 파일
./etc/hosts.equiv
.$HOME/.rhost

 

두 파일 모두 시스템의 트러스트 관계 형성 시 사용되는데,

기능과 사용법은 동일, 차이점은
hosts.equiv : 시스템 전체에 영향

.rhost : 사용자 한 사람에게 귀속

 

 

※ IP 스푸핑 보안 대책

  • 가장 좋은 보안 대책은 트러스트 자체를 사용하지 않는 것.
    (트러스트는 취약점이 모두 드러난 상태이기 때문)
  • 트러스트를 사용해야 한다면, 시스템의 MAC 주소를 static 으로 지정

 

트러스트 관계 : IP 주소를 통해 인증 없이 로그인 가능

→ 스니핑은 해결

→ but, IP만 알면 우회 가능!!

 

해결책? SSO (Single Sign On)

 

 

 

▶ DNS 스푸핑 공격 및 보안 대책 

※ DNS 스푸핑

  • 실제 DNS 서버보다 빠르게 공격 대상에게 DNS Response 패킷을 전송,
    공격 대상이 잘못된 IP 주소로 접속하도록 유도하는 공격

DNS Spoofing

  1. 클라이언트가 DNS 서버에 DNS Query를 통해 주소 요청
    공격자는 DNS Query를 도청
  2. 공격자는 DNS 서버보다 빠르게 DNS Response 패킷을 전송.
    (잘못된 IP 주소로)
  3. DNS 서버가 DNS Response 패킷을 전송.
  4. 클라이언트는 먼저 도착한 공격자의 DNS Response 패킷을 통해
    잘못된 IP 주소의 사이트로 접속

 

※ DNS 보안 대책

  • hosts 파일

hosts 파일은 개개인의 시스템에서의 DNS 서버와 비슷한 역할.

hosts 파일에 사용하는 사이트의 IP 주소를 적어두면, 도메인과 IP 주소를 기억하고
이를 통해 해당 사이트에 한정 DNS 스푸핑 공격을 방지 가능.

 

 

 

- 최신 버전의 BIND 사용

  • BIND 최근 버전은 PTR 레코드 + PTR 레코드에 의한 A 레코드 정보까지 확인 후
    네임 서버의 DB 파일 변조 여부까지 판단 가능

 

PTR 레코드 & A 레코드

  •  PTR 레코드 : Reverse Zone 에서 IP 주소에 대한 도메인 이름을 해석하는 레코드
  • A 레코드 : Forward Zone 에서 도메인 이름에 대한 IP 주소를 해석하는 레코드

 

즉, 최신 버전의 BIND를 통해 PTR, A 레코드 정보를 모두 확인할 수 있다면,

도메인 → IP 주소

IP 주소 → 도메인

둘 모두를 확인하여 각 주소가 정상적으로 매핑 되었는지 확인할 수 있다.

'인터넷보안' 카테고리의 다른 글

DoS 공격  (0) 2025.04.13
스니핑 (Sniffing)  (0) 2025.04.10
SNMP  (0) 2025.04.08
OS / 방화벽 탐지  (0) 2025.04.08
스캔 (Scan)  (0) 2025.04.07

'인터넷보안' Related Articles

티스토리툴바