스푸핑 (Spoofing)

스푸핑 (Spoofing)

스푸핑(Spoofing)의 사전적 의미는 '속이다'이다. 네트워크에서 스푸핑 대상은 MAC 주소, IP주소, 포트등 네트워크 통신과 관련된 모든 것이 될 수 있고, 스푸핑은 속임을 이용한 공격을 총칭한다.

 

 

스푸핑(Spoofing) 공격의 종류

1. IP Spoofing

IP 스푸핑은 IP자체의 보안 취약성을 악용한 것으로 자신의 IP주소를 속여서 접속하는 공격이다.

2. ARP Spoofing

ARP 스푸핑은 MAC 주소를 속여 랜에서의 통신 흐름을 왜곡시키는 공격이다. 공격대상 컴퓨터와 서버 사이의 트래픽을 공격자의 컴퓨터로 우회시켜 패스워드 정보등 원하는 정보를 획득 할 수 있다.

3. email Spoofing

이메일 발송시 송신자의 주소를 위조하는 것이다. 이메일 손신자 from 필드에 별칭(alias)필드를 사용할 수 있다. 대량의 스팸메일과 바이러스 감염 메일을 보낼때 추적을 피하기 위해 사용한다.

4. DNS Spoofing

DNS프로토콜은 인터넷 연결시 도메인 주소를 실제 IP로 대응시켜주는 프로토콜이다. 공격자가 DNS서버를 장악하거나 사용자와 DNS사이의 트래픽을 스니핑하여 임의의 IP주소를 사용자에게 보내 공격자가 원하는 주소로 이동시킬 수 있다.

 

스푸핑 공격 대응 방안

스푸핑 공격은 패킷 필터링, 접근제어와 IP인증 기반 접근제어, 취약점 서비스 사용의 제거, 암호화 프로토콜의 사용을 통해 방어가 가능하다.

 

 

DNS Spoofing

<공격자 시스템 : Linux Kali, 192.168.21.133>

<공격 대상 시스템 : WindowXP, 192.168.21.134>

<위조 웹 사이트 : Linux Fedora, 192.168.21.132>

<실습 도구 : arpspoof, dnsspoof>

 

 

<공격 수행 전 windowXP의 google 정상 접속 확인> 

 

 <dns스푸핑 파일 설정>

 

 <arp 스푸핑 수행>

 

<패킷 릴레이>

 

<dns스푸핑 공격 수행>

 

 <dns 스푸핑 수행후 windowXP의 google 접속 확인>

 

 

클라이언트의 dns캐시에 이전에 접속했던 도메인 정보가 있다면 dns스푸핑 공격이 이루어지지 않는다. 실습전 클라이언트에서는 'ipconfig /flushdns' 명령어를 이용 dns캐시를 삭제하고 실습해야 한다.

 

 

http://ko.wikipedia.org/wiki/%EC%8A%A4%ED%91%B8%ED%95%91#DNS_.EC.8A.A4.ED.91.B8.ED.95.91
http://www.nprotect.com/service/kcg/basic_view.html?no=43&page=1&key=&keyfield=