스푸핑 공격이란 스푸핑(Spoofing)이란 ‘속이다’라는 의미 IP 주소, 호스트 이름, MAC 주소 등 여러 가지를 속일 수 있으며, 스푸핑은 이런 속임을 이용한 공격을 총칭한다. 인터넷이나 로컬에서 존재하는 모든 연결에 스푸핑이 가능하며, 정보를 얻어내는 것 외에도 시스템을 마비시키는 것도 가능하다. IP 충돌 문제 역시 고의가 아닌 IP 스푸핑이라고 생각할 수 있다.
ARP RARP IP 주소 값으로 MAC 주소 값을 알아내는 프로토콜 MAC 주소 값으로 IP 주소 값을 알아내는 프로토콜 가 서버로 가는 패킷이나 서버에서 클라이언트로 가는 패킷을 중간에 서 가로채는 공격이다. 공격자는 이 패킷을 읽고 확인한 후 정상적인 목적지로 향하도록 다시 돌려보내 연결이 끊어지지 않고 연결되도록 유지한다.
ARP 스푸핑 공격 예 명호는 먼저 10.0.0.2에 해당된 가짜 MAC 주소를 CC로 10.0.0.3에 해당하는 가짜 MAC 주소를 CC로 알렸다. 명호는 철수와 영희 컴퓨터로부터 패킷을 받는다. 각자에게 받은 패킷을 읽은 후 철수가 영희에게 보내고자 하던 패킷을 정상적으로 영희에게 보내주고, 영희가 철수에게 보내고자 했던 패킷을 철수에게 보내준다. [그림 12-20] ARP 스푸핑 예제 그림
ARP 스푸핑 공격 전과 후의 패킷의 흐름 [그림 12-21] ARP 스푸핑 공격
공격 전 툴 설치 공격 전 ARP 테이블 ARP 스푸핑 툴(fake 버전 1.1.2, rpm) Root# rpm -Uvh fake-1.1.2-1.i386.rpm 패킷 Relay 툴(fragrouter 버전 1.6) Root# ./configure Root# make 공격 전 ARP 테이블 Root# arp -a
공격전 패킷 릴레이 기능 설정 ARP 스푸핑 공격 실시 Root# fragrouter –B1 Root# send_arp 172.16.0.3 00:06:5B:89:D0:CC 172.16.0.4 00:C0:26:5D:25:AA [그림 12-30] fragrouter 실행 [그림 12-31] send_arp를 이용한 ARP 스푸핑
공격 후 ARP 테이블 공격 중 Fragrouter Root# arp -a [그림 12-32] ARP 스푸핑 공격 후 클라이언트의 MAC 테이블 [그림 12-33] 클라이언트가 텔넷 터미널에서 ls 명령을 내린 후 공격자의 fragrouter 화면
ARP 스푸핑의 보안 대책 : MAC 주소의 static한 설정컴파일 arp -a를 입력하고 엔터 키를 입력하기 바란다. 현재 MAC 테이블을 볼 수 있다. static으로 설정하고자 하는 IP 주소와 MAC 주소를 확인한 뒤 arp -s <IP 주소> <MAC 주소>로 명령을 내린다. 명령 예 ) arp -s 192.168.1.142 00:06:5B:89:D0:CC 다시 arp -a로 MAC 테이블을 확인해보면 뒷부분에PERM(Permanent) 옵션이 붙어있는 것을 확인할 수 있다. 이렇게 설정된 IP와 MAC 주소 값은 ARP 스푸핑 공격이 들어와도 값이 변하지 않는다.
리눅스 / 유닉스에서 트러스트관계를 형성하는데 사용되는 파일 IP 스푸핑 IP 스푸핑은 시스템간의 트러스트 관계를 이용한 것이다. 트러스트 관계가 설정된 상태에서 클라이언트 시스템은 서버에 접속할 때 자신의 IP 주소로 인증을 하고 별도의 패스워드 없이 로그인이 가능하도록 만든 것이다. 원격지 접속 서비스 중 r로 시작하는 rsh, rcp 등의 명령이 주로 IP 주소를 기반으로 인증하는 서비스다. 리눅스 / 유닉스에서 트러스트관계를 형성하는데 사용되는 파일 /etc/hosts.equiv $HOME/.rhost
트러스트 관계를 형성하기 위한 레코드 형식 .rhost 레코드 형식 내 용 host_name host_name user_name host_name의 user_name에 대한 접근을 허락한다. + 모든 시스템에서의 접근을 허락한다. + user_name 모든 시스템의 user_name에 대한 접근을 허락한다. -host_name host_name 에서의 접근을 막는다. host_name -user_name host_name의 user_name에 대한 접근을 막는다. + @netgroup 모든 시스템의 netgroup에 대한 접근을 허락한다.
[그림 12-37] IP 스푸핑 실습도
DNS 스푸핑 DNS(Domain Name System) 스푸핑은 웹 스푸핑과 비슷한 의미로 이해되기도 한다. 인터넷을 이용하는 도중 주소 창에 가고자하는 사이트 이름을 적어놓고는 엔터 키를 눌렀더니 엉뚱한 사이트로 연결되는 경우를 경험해본 적이 있을 것이다. 예를 들면 ‘www.cwd.go.kr’란 주소를 주소 창에 넣었더니만 무슨 쇼핑몰이나 포르노 사이트가 뜨는 경우다. 이런 경우가 DNS 서버의 오류로 인해 생길 수도 있지만, DNS 스푸핑과 같은 공격으로도 이루어진다.
정상적인 DNS 서비스 클라이언트는 접속하고자 하는 www.wishfree.com과 같은 도메인 이름에 해당하는 IP 주소를 이미 설정된 DNS 서버에게 물어본다. 이때 보내는 패킷이 DNS query 패킷이다. DNS 서버는 해당하는 도메인 이름에 대한 IP 주소를 클라이언트에게 보내준다. 클라이언트는 받은 IP 주소를 바탕으로 웹 서버를 찾아간다. [그림 12-46] 정상적인 DNS 서비스
DNS 스푸핑 클라이언트가 DNS 서버로 DNS query 패킷을 보내는 것을 확인한다. 스위칭 환경일 경우에는 클라이언트가 DNS query 패킷을 보내면 이를 받아야 하므로 arp 스푸핑과 같은 선행 작업이 필요하다. 만약 허브를 쓰고 있다면 모든 패킷이 자신에게도 전달되므로 자연스럽게 클라이언트가 DNS query 패킷을 보낼 경우 이를 확인할 수 있다. [그림 12-47] DNS 질의
DNS 스푸핑 공격자는 로컬에 존재하므로 DNS 서버보다 지리적으로 가까운 위치에 있다. 따라서 DNS 서버가 올바른 DNS response 패킷을 보내주기 전에 클라이언트에게 위조된 DNS response 패킷을 보낼 수 있다. [그림 12-48] 공격자와 DNS 서버의 DNS 응답
DNS 스푸핑 클라이언트는 공격자가 보낸 DNS response 패킷을 올바른 패킷으로 인식하고, 웹에 접속한다. 지리적으로 멀리 떨어져 있는 DNS 서버가 보낸 DNS response 패킷은 버린다. [그림 12-49] DNS 스푸핑 공격의 성공