<스푸핑 공격>
→ IP 스푸핑 공격
● IP 스푸핑은 IP 주소를 속이는 것으로, 다른 이가 쓰는 IP를 강탈해 어떤 권한을 획득하는 것이다.
● 트러스트 관계가 맺어져 있는 서버와 클라이언트를 확인한 후 클라이언트 에 서비스 거부 공격을 하여 연결을 끊고, 공격자가 클라이언트의 IP 주소 를 확보하여 실제 클라이언트처럼 패스워드 없이 서버에 접근하는 것이다.
→ ICMP 리다이렉트 공격
● ICMP 리다이렉트는 스니핑 시스템을 네트워크에 존재하는 또 다른 라우 터라고 알림으로써 패킷의 흐름을 바꾸는 공격이다.
⓵ 호스트 A에 라우터 A가 기본적으로 설정되어 있기 때문에, 호스트 A가 원격의 호스트 B로 데이터를 보낼 때 패킷을 라우터 A로 보냅니다.
⓶ 라우터 A는 호스트 B로 보내는 패킷을 수신합니다. 그리고 라우팅 테이 블을 검색하여 호스트 A에게 자신을 이용하는 것보다 라우터 B를 이용하는 것이 더 효율적이라고 판단하여 해당 패킷을 라우터 B로 보냅니다.
⓷ 라우터 A는 호스트 B로 향하는 패킷을 호트스 A가 자신에게 다시 전달 하지 않도록, 호스트 A에 ICMP 리다이렉트 패킷을 보내서 호스트 A가 호스 트 B로 보내는 패킷이 라우터 B로 바로 향하도록 합니다.
⓸호스트 A는 라우팅 테이블에 호스트 B에 대한 값을 추가하고, 호스트 B로 보내는 패킷은 라우터 B로 전달됩니다.
간단히 말해 ICMP 리다이렉트를 이용한 공격자가 라우터 B가 되는 것입니다. ICMP 리다이렉트 패킷도 공격대상에게 보낸 후 라우터 A에 다시 릴레이 시켜주면 모든 패킷을 스니핑 할 수 있습니다.
→ DNS 스푸핑 공격
● DNS 스푸핑은 실제 DNS 서버보다 빨리 공격 대상에게 DNS Response 패킷을 보내, 공격 대상이 잘못된 IP 주소로 웹 접속을 하도록 유도하는 공격입니다.
(예: 인터넷 익스플로러에 사이트 주소를 입력하고 엔터키를 눌렀더니 쇼핑 몰이나 광고 사이트가 뜨는 경우)
먼저 정상적인 DNS 서비스가 작동되는 방법은
⓵클라이언트가 DNS서버에게 DNS Query패킷을 보내 DNS 서버에 접속하 고자 하는 IP주소를 물어봅니다.
⓶DNS 서버가 해당 도메인 이름에 대한 IP주소를 클라이언트에게 보내줍니 다.
⓷클라이언트가 받은 IP 주소를 바탕으로 웹 서버를 찾아갑니다.
클라이언트가 DNS 서버로 DNS Query 패킷을 보내는 것을 확인합니다. 클라이언트 DNS Query 패킷을 보내면 공격자가 이를 받아야 하므로 ARP 스푸핑과 같은 선행 작업이 필요합니다.
⓶공격자는 로컬에 존재하므로 지리적으로 DNS 서버보다 가깝다. 따라서 공격자는 DNS 서버가 올바른 DNS Response 패킷을 보내주기 전에 클라 이 언트에게 위조된 DNS Response 패킷을 보낼 수 있다.
⓷ 클라이언트는 공격자가 보낸 DNS Reponse 패킷을 올바른 패킷으로 인식하고 웹에 접속하게 됩니다. 그리고 지리적으로 멀리 떨어진 DNS 서버가 보낸 DNS Response 패킷은 버립니다.