Spoofing:
승인받은 사용자인 것처럼 시스템에 접근하거나 네트워크 상에서 허가된 주소로 가장하여 접근제어를 우회하는 공격행위
스위치 환경에서는 스푸핑 공격을 통해 MITM(중간자공격)등의 공격이 가능해진다.
<ARP: address resolution protocol>
- 네트워크 계층 주소(ip)를 링크계층 주소(mac)로 대응시켜주는 프로토콜
- 내부 네트워크에서는 ip가 아니라 mac으로 통신이 이루어진다. 때문에 내부 호스트들은 mac을 알아내기위해 arp를 전송한다.
동작원리
- 유니캐스트(1:1), 브로드캐스트 통신(1:N) - 브로드캐스트 방식으로 전송할 경우, Destination address= ff:ff:ff:ff:ff:ff
- arp 테이블을 이용해서 ip주소와 그에 해당하는 mac주소를 매핑한다. (통신하기 전에 arp테이블을 먼저 확인함)
ARP 취약점
- ARP요청이 없어도 응답이 가능하다. 응답을 받으면 arp테이블에 기록함.
- ARP 응답을 보낸 사람이 누구인지 검증할 수단이 없음.
ARP Spoofing
- IP forwarding*을 이용해서 패킷이 전송되도록 한다.
*운영체제에서 자체적으로 지원(/etc/sysctl.conf). fragrouter와 같은 도구 사용한다.
- 중간자 공격(MITM)이 가능해진다.
네트워크 통신을 조작하여 내용을 도청하거나 조작하는 공격 기법.
중간자가 한쪽에서 정보를 도청 및 조작 후 다른 쪽으로 전달한다.
ARP Spoofing 보안
- ARP 테이블을 정적으로 관리한다. 하지만 MAC 관리 및 변경 등이 불편함.
- ARP 스푸핑 탐지, 방어 소프트웨어나 장비를 이용한다.
<DNS: domain name system>
- 도메인 네임과 ip주소의 매핑을 제공해주는 서비스.
- 질의 절차
DNS Spoofing
- dns 요청> dns서버의 응답>공격자가 가로채서 공격자가 위조한 사이트의 ip를 응답으로 보냄>피해자는 위조된 사이트에 접속
'study > Network' 카테고리의 다른 글
| [Web Application] OWASP Top 10 (0) | 2020.09.16 |
|---|---|
| OSI 7 Layer (0) | 2020.09.16 |