스푸핑 (Spoofing) 이란?

스푸핑 (Spoofing) 이란?

자신을 다른 존재로 사칭하는 것으로 공격자는 사람들끼리 혹은 기계들 사이에 성립도니 신뢰 관계를 이용하여, 자신이 신뢰 대상인 것처럼 속여서 공격자를 믿도록 속인다.

스푸핑 유형...

IP spoofing - 공격자가 정보를 얻거나 접근을 하기 위해 다른 컴퓨터의 IP 주소를 사용한다.

E-mail spoofing - 이메일 주소로 위장하는 것과 관련 있다. 실제로 Eric에게서 온 이메일처럼 보이지만 사실은 Eric은 그 메일 보내지 않았다. 누군가가 Eric을 사칭새  그 이메일을 보냈을 것이다.

Web spoofing - 월드 와이드 웹은 전자 상거래에 점점 더 많이 사용되고 있다. 사람들은 신원이 확인되고 신분이 증명되어야만 신용을 얻을 수 있게 된다. 실제로 신용을 얻어야만 되는 스푸핑의 기회는 발생한다.

IP 스푸핑...

대부분의 분석가가 스푸핑을 생각할 때, 공격자가 그의 IP 주소를 바꾸어서 다른 누군가처럼 보이도록 하는 IP 스푸핑을 생각한다. 기억할 것은 공격자가 진짜 주소가 아닌 위장된 주소로 돌아가는 점이다.

공격자가 공격대상에게 위장된 IP 주소로 패킷을 보내는 것의 예이다.

flying bling attack (맹목적 공격)

 - 공격대상은 그 패킷을 받게 되지만 공격자의 주소가 아닌 수취인으로 기재된 IP 주소로 회신을 한다. 그러므로 공격자는 패킷을 위장된 주소로 컴퓨터에 보낼 수 있다. 하지만 어떤 패킷도 되돌려 받지 않는다. 단방향 공격 (one-way-attack)이라고도 한다.

공격자는 피해자로부터 어떤 회신도 받지 않는다. 그러나 공격자의 위치에 따라서, 만약 공격자가 피해자의 시스템과 위장한 주소를 가진 시스템 사이의 경로 안에 들어가 있다면 회신을 받을 수도 있다.

IP 스푸핑 공격의 특징

기본 주소 변경 - 네트워크 구성에서 IP 주소 변경

                          - 방어 : 라우터에서 필터링 (Ingress filtering / Egress filtering)

                                          Ethernet / IP 주소 pairings의 기졹 보존 (ex: arpwatch)

패킷을 가로채기 위해 소스 라우팅을 사용

 - 소스 라우팅 (source routing) : 패킷이 인터넷을 통과할 때 잡게 될 경로를 지정해 준다.

 - 느슨한 소스 라우팅 (LSR; Loose Source Routing) - 반드시 통과 할 IP 주소 지정, 그 외는 다른 주소 통과 가능

 - 엄격한 소스 라우팅 (SSR; Strict Source Routing) - 모든 통과 경로 지정, 실패하면 ICMP  메시지가 송신자에게 반송

 - 방어 : 소스 라우팅 사용 봉쇄 (ex: CISCO router에서 IP srouce-route 명령 사용)

유닉스 시스템의 신뢰 관계를 이용 - 서버가 여러 개의 시스템으로 구성될 경우

                                                         - 패스워드 없이 rxxx 명령어 사용 가능

                                                         - 방어 : 신뢰 관계 사용금지 혹은 최소화

E-mail 스푸핑...

목적 - 공격자의 신분 은폐 : 익명 재전송 우편 프로그램(anonymous remailers) 사용

         - 신분 위장

         - 사회공학적 기법

방법

 1) 유사한 이메일 주소 - 공격 대상의 계정과 유사한 계정 개설

                                       - 방어 : 별칭(alias) 대신 항상 완전한 주소를 보여 주도록 한다.

                                                      공개키 암호화 -> 디지털 서명

 2) 메일 client 수정 - Mail User Agent(MUA) : Outlook express, 유도라, Netscape messenger 등

                                    - From 행에 보이기 원하는 주소로 수정 : 보낸 사람의 실제 주소 대신 위장한 주소로 보내 짐

                                    - 방어 : 완전한 이메일 헤더를 보는 것

 3) 25번 포트에 telnet - 명령어로 위장된 메시지 송신

                                           - 방어 : 스푸핑 필터, 릴레이 필터 구성

                                                          To, From 주소가 이메일 서버에 속한 것과 같은 도메인 인지 확인                    

 * 25번 포트 : SMTP (Simple Mail Transport Protocol; 단순 메일 전송 프로토콜) -> 메일 서버가 인터넷으로 메일을 발송하는데 사용.

Web 스푸핑... 

기본적 웹 스푸핑 - 방어 : 서버측 인증 (server-side) 사용

Man-in the-middle 공격 - 공격자가 공격 대상에게 오고  가는 모든 트래픽이 그를 통과하도록 자신의 위치를 정해야만 한다.

                                             - 예 : 회사의 외부 라우터 점령

                                             - 가로채기 및 변조

                                             - 재생 공격 (replay attack) 가능

                                             - 방어 : 암호화

URL 다시 쓰기

 - URL 다시 쓰기로 공격자는 man-in-the-middle 공격과 같이 통신의 흐름 속에 들어간다. 유일하게 다른 점은 man-in-the-middle 공격에서는, 공격자는 트래픽이 인터넷을 건너갈 때 이 것을 실제로 가로챌 수 있어야만 한다는 것이다 만일 로컬 네트워크 상에 있거나 라우터를 점령할 수 있다면 이것은 상당히 쉽다 하지만, 그렇지 않을 경우에는 수행하기가 매우 어려울 수 있다. 이때는 공격자는 URL 다시 쓰기를 사용할 것이다. URL 다시 쓰기로, 공격자는 공격자에 의해 관리되는 다른 사이트로 웹 트래픽을 전송한다.

 - 방어 : 사이트 주소창 검사 / 소스 검사