스푸핑 (Spoofing)

- spoof란 단어의 사전적 의미는 골탕먹이다,속여먹다,우롱하다 이다.

- 즉 해커가 악용하고자 하는 호스트의 IP주소를 바꿔서 이를 통해 해킹을 하는 것이 IP스푸핑이다.

- 네트워크 시스템에서 서로 신뢰관계에 있는 A, B 두 시스템간에는 A시스템의 계정을 가지고 B시스템을 액세스 할수 있다.

- 이는 네트워크에서 신뢰관계를 형성하는 서비스가 네트워크 주소에 기반하여 이를 인증하기 때문이다. 이로 인해 IP스푸핑이

  가능해진다.

- IP 스푸핑은 이 신뢰관계에 있는 두 시스템 사이에서 해커의 호스트를 마치 하나의 신뢰관계에 있는 호스트인것처럼 속이는 것

  이다.

- 또한 IP 스푸핑과 항상 연동되어 사용되는 공격법으로  TCP sequence number guessing attack을 들수 있다.

ARP 스푸핑

- 공격 대상 컴퓨터와 서버 사이의 트래픽을 해커 자신의 컴퓨터로 우회시킬 수 있다.

- 우회된 트래픽으로부터 해커는 패스워드 정보 등 유용한 정보를 획득할 수 있다.

- ARP 스푸핑은 2계층 MAC 주소를 공격자의 MAC 주소로 속이는 것이다.

ARP 스푸핑 보안 대책

- MAC 테이블의 static 설정을 통해 막을수 있다.

- 모든 관리 시스템에 static 옵션을 지정할수는 없다. 또한 리부팅하면 static 옵션이 사라지므로 계속 사용하려면 

  배치파일 형태로 만들어두고, 리부팅시마다 자동으로 수행되도록 설정해야 한다.

DNS 스푸핑

- DNS 프로토콜은 인터넷 연결시 도메인 주소를 실제 IP 주소로 대응시켜 주는 프로토콜이다.

- 인터넷 연결시 사용하는 DNS 서버가 IP주소를 찾아달라는 요청을 받았을때, 자기 자신의 도메인이 아닌 주소에 대해서는 보다 

  상위 단계의 DNS 서버로부터 재귀적(Recursive)인 방식으로 IP주소를 찾아 알려준다.

- 만약 해커가 어떤 도메인의 DNS 컴퓨터를 장악하여 통제하고 있다면 최종적으로 얻어진 IP주소는 원래 사용자가 찾아가고자 

   했던 홈페이지가 아닌 다른 홈페이지로 연결되게 된다.

- 이는 요청을 발송했던 DNS와 응답을 주는 DNS사이의 트래픽을 해커가 스니핑 함으로써 Query ID 라는 값을 통해 해커의 사이

   트 IP를 최종 응답으로 넘겨주도록 하는것이다.

- 사용자가 쇼핑몰을 이용하고자 하였다면 해커에 의해 조작된 홈페이지 내에서 자신의 아이디와 필드, 신용카드 정보를 기입함으

   로써 개인정보를 탈취 당할수 있다.

- 위와 같은 스니핑 공격들은 실제로 인터넷상의 툴로써 공개가 되어 있으며 여러가지 다른 복합적인 공격과 같이 사용될수 있다.

IP 스푸핑

- IP 스푸핑은 말 그대로 IP 정보를 속여서 다른 시스템을 공격하는 것이다.

- IP 스푸핑을 통해 서비스 거부 공격(TCP Syn flooding, UDP flooding, ICMP flooding)을 수행할수도 있다.

- 또한 공격대상 컴퓨터와 서버 사이의 연결된 세션에 대해서 세션 끊기도 가능하다.

E-mail 스푸핑

- 이메일 발송시 송신자의 주소를 위조하는 것이다.

- 요즘 들어서 극성인 대량의 스팸메일과 바이러스 감염메일은 송신자의 주소가 아예 존재하지 않는 이메일 주소를 사용한다.

- 또한 이메일은 발송한 메일서버 또한 직접적인 메일 발송 서버가 아닌 중계서버이므로 메일을 발송한 자를 추적하기란 

   쉽지 않다.

스푸핑을 막기 위한 대첵

- 암호화된 Protocol을 사용한다 : 속도가 느려지고 사용이 아직 보편화되어 있지 않다.

- IP로 인증하는 서비스는 사용하지 않는다 : 사용이 상당히 불편해진다.

- 라우터에서 Source routing을 허용하지 않음 : 내부 사용자끼리의 IP Spoofing은 막을수 없다.

- Sequence number를 랜덤하게 발생시키도록함 : sequence number를 sniff할수 있는 경우에는 막을수없다.

- DoS가 발생하지 않도록함 : IP Spoofing의 시작은 DoS이다.