스푸핑1

◈스푸핑(spoofing)

1995년 미국에서 처음 보고되었던 해킹 수법이다. 스푸핑(spoofing)은 '속이기'라는 뜻으로, 외부 악의적 네트워크 침입자가 임의로 웹사이트를 구성하여 일반 사용자들의 방문을 유도, 인터넷 프로토콜인 TCP/IP의 구조적 결함을 이용하여 사용자의 시스템 권한을 획득한 뒤 정보를 빼가는 해킹 수법이다. 종류에는 IP 스푸핑, DNS 스푸핑, 이메일 스푸핑, ARP 스푸핑 등이 있다.

◈스푸핑 공격

-IP 스푸핑

목표로 하는 호스트(target host)와 신뢰관계를 맺고 있는 다른 호스트로 공격자의 IP 주소를 속여서 패킷을 보내는 기법을 말한다. IP기반의 ACL통제를 회피할 수 있으므로 변조된 IP를 사용하기 때문에 공격에 대한 추적이 어렵다. 즉, 허가받은 IP를 도용하여 로그인을 하는 것을 말한다.

▷신뢰관계(trust relationship) : 스니핑을 이용한 계정 정보의 유출을 막기 위해 아이디와 패스워드를 사용하지 않고 특정 시스템의 IP와 신뢰관계를 맺고 로그인없이 접속을 허락하는 것

▷ACL(Access Control List) :　라우터를 통과하는 패킷을 필터링하는 목록으로 네트워크에 대한 접근을 허용 및 거부하는 목록이다.

<공격방법>

(1)공격자가 본인의 IP주소를 위장해 변조하고자하는 클라이언트(A)에게 SYN을 보내 접속을 요청한다.

(2)A가 요청의 응답의 대가로 SYN, ACK를 전송한다.

(3)공격자는 이에 응답하지 않는다.

(4)A는 TCP의 특성이 발동되어 계속 응답을 기다리는 SYN, ACK를 전송한다.

(5)앞의 과정이 반복되어 접속 길목이 막히는 overflow현상이 발생한다. → A 동결

(6)공격자는 타겟에게 정상적인 접속을 시도하면서 순서제어번호의 변화를 패킷모니터링을 이 용해 관찰한다.(외부에서 접근하는 경우에....)

(7)순서제어번호의 변화를 추측해 적당한 번호를 이용해서 자신의 IP를 클라이언트 A로 가장 한 후에 SYN을 보내 접속을 요청한다.

(8)타겟은 접속 요청을 A가 보낸 것으로 착각하고 요청의 응답의 대가로 SYN, ACK를 전송한 다.

(9)동결된 클라이언트 A는 응답을 할 수 없고, 공격자가 A로 IP위장 후, 추측한 순서제어번호 를 이용해 마치 A가 응답한 것처럼 SYN, ACK에 대한 ACK를 보낸다.

(10)공격자와 타겟 간의 접속이 이루어지고 타겟에 대한 공격을 실행한다.

▷SYN :　정보교환용 부호중 송신측과 수신측과의 사이에서 비트의 송수의 타이밍을 맞추기 위한 전송제어의 부호

▷ACK :　송신 측에 대하여 수신측에서 긍정적 응답으로 보내지는 전송 제어용 캐릭터. 데이 터가 오차없이 수신되었다라는 내용을 전달한다.

▷순서 번호(Sequence number) :　송신자가 데이터 프레임을 보낸 후 수신자로부터의 긍정 응답이 없어서 다시 그 데이터 프레임을 보낸 경우와 긍정 응답을 받은 후 다음 데이터 프레 임을 보냈을 때, 수신자는 그 두 경우를 구별할 수 없기 때문에 데이터 프레임별로 고유의 번호를 부여하고 이를 순서 번호라 한다.

→ 외부에서 접근하는 경우 순서 번호를 알지 못하기 때문에 추측해야 하는데, 과거에는 예상이 가능했지만 현재는 그 번호가 복잡해 내부에서 외부의 침입처럼 보이게 할 때 사용된다,

-DNS 스푸핑

목표로 하는 호스트가 이용하는 도메인네임서버(domain name server)에 가짜 DNS 레코드를 전달함으로써 목표로 하는 호스트가 잘못된 주소 정보를 이용하게 하는 기법이다. 사용자의 컴퓨터는 보통 컴퓨터가 사용하는 IP 주소대신 사람들이 쓰기 편한 문자로 구성되어 있는 URL주소를 사용한다. 하지만 컴퓨터는 URL주소를 바로 인식할 수 없기 때문에, 사용자로부터 URL주소를 입력을 받으면 등록된 도메인 네임 시스템의 주소로 UDP프로토콜을 이용하여 질의를 보낸다.

▷UDP프로토콜 :　TCP와 함께 데이터그램으로 알려진 단문 메시지를 교환하기 위해서 사용된다.　TCP는 데이터를 주고 받을 양단 간에 먼저 연결을 설정하고 설정된 연결을 통해 양방향으로 데이터를 전송하지만, UDP는 연결을 설정하지 않고 수신자가 데이터를 받을 준비를 확인하는 단계를 거치지 않고 단방향으로 정보를 전송한다.

<중간자 공격을 이용한 공격>

중간자 공격을 받고 있는 경우에는 사용자의 컴퓨터가 보내는 질의의 내용을 수정하여 도메인 네임 시스템서버에 전송하고, 도메인 네임 시스템서버는 변경된 질의에 대한 답을 사용자의 컴퓨터로 보내고, 사용자의 컴퓨터는 질의에 나와 있는 IP 주소를 이용하여 접속을 하게 된다. 이때 이미 질의가 중간자 공격으로 인해 원래의 값이 아니기 때문에 의도치 않은 곳으로 접속될 수 있다.

▷중간자 공격(MITM) : 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법이다. 중간자 공격은 통신을 연결하는 두 사람 사이에 중간자가 침입하여, 두 사람은 상대방에게 연결했다고 생각하지만 실제로는 두 사람은 중간자에게 연결되어 있으며 중간자가 한쪽에서 전달된 정보를 도청 및 조작한 후 다른 쪽으로 전달한다. 많은 암호 프로토콜은 중간자 공격을 막기 위하여 인증을 사용한다.

<사용자의 컴퓨터에 저장된 도메인 네임 시스템주소가 변조되어있을 경우의 공격>

만약 사용자의 컴퓨터에 등록되어 있는 도메엔 네임 시스템의 IP 주소가 다른 요인으로 인해 이미 변경되어 있을 경우, 사용자의 컴퓨터가 제대로 된 질의를 보내도 이미 공격자가 지정한 서버에 질의를 보내게 되므로 의도치 않은 곳으로 접속될 가능성이 있다.

-이메일 스푸핑

이메일을 보낼 때 보내는 주소를 위조해서 보내는 것으로 스팸메일이나 바이러스 감염 메일을 보낼 때 악용되는 기법이다.

시연 동영상 :　https://www.youtube.com/watch?v=i17uVfs8FOE

-ARP 스푸핑

랜카드(네트워크 연결 및 데이터 전송)의 고유한 주소인 MAC 주소를 위장해서 정보를 가로채는 것을 말한다. 어떤 데이터가 컴퓨터 A에서 컴퓨터 B로 가기 위해서는 라우터를 경유해서 가야하는데 ARP 스푸핑을 통해 해커의 PC를 경유해서 가게 만드는 것이다.

▷MAC 주소 :　이더넷의 물리적 주소

스위치의 mac cashe table에 공격 대상자 mac주소를 변경하고 공격대상자에게 가는 정보를 공격자가 받는다.

＜공격 방법>

(1)VM웨어 가상머신으로 윈도우 XP설치

(2)공격자와 희생자라고 이름을 만들어 윈도우XP ISO파일을 이용해 설치 진행

(3)인터넷 정상 접속 확인

(4)공격자 PC에 스눕스파이 등 ARP스푸핑 공격툴을 세팅한 후, 희생자 PC에서 MAC주소 값 확인

(5)공격자 PC에서 스눕스파이를 통해 희생자PC의 IP를 체크한 후, 패킷 전송

(6)희생자 PC에서 CMD에서 arp-a로 다시 mac주소를 확인해 보니 공격자PC의 MAC주소로 바뀜을 확인

(7)희생자 PC에서 웹사이트 로그인 시도

(8)공격자 PC에서 해당 URL을 클릭해 아이디와 패스워드 확인

→꼭 해보고 싶어서....

가상머신 만들려고 vmware도 깔고.....

여차저차 했지만.....

이런 화면만이 뜨고......

한편 유명 업체의 명의로 스팸메일을 발송, 소비자들이 믿을 수 있는 이메일로 생각하게끔 유도하여 이메일의 개봉 빈도를 높이려는 행위를 스푸핑이라 하기도 하며, 이런 이메일을 통하여 가짜 웹사이트로 유도하여 사용자가 암호와 기타 정보를 입력하도록 속인다.

'스누핑&스푸핑' 카테고리의 다른 글

스푸핑2 (0)	2016.07.19
스니핑 (0)	2016.07.19

코딩 쟁이

스푸핑1

'스누핑&스푸핑' 카테고리의 다른 글

티스토리툴바

스푸핑1

'스누핑&스푸핑' 카테고리의 다른 글

관련글

티스토리툴바