인터넷 보안 스푸핑 (Spoofing)

1. Internet Security 인터넷 보안스푸핑(Spoofing) 20042315 임현우

2. Contents 스푸핑이란? 1 필수 라이브러리 2 ARP 스푸핑 3 IP 스푸핑 4 DNS 스푸핑 5 스푸핑 보안 대책 6

3. 스푸핑이란? • Spoof(ing) • 사전적의미 - 속여 넘김, 눈속임 • IP, Host Name, MAC 주소 등 여러가지를 속일 수 있다. <Windows 환경에서의 IP 주소 충돌 경고>

4. Libnet Libpcap Library OpenSSL DB Libnids 필수 라이브러리

5. Library • Libnet(Library Network) • 패킷 생성 라이브러리 • 네트워크와 메모리 초기화 • 패킷 생성 후 체크섬 생성 • 패킷의 투입 • ‘Libpcap’ 라이브러리와 함께 사용

6. Library • Libpcap(Library Packet Capture) • 네트워크 카드에 유입된 정보를 응용 프로그램이 읽을 수 있는 형태로 전환 각 운영체제별 패킷 캡쳐 라이브러리

7. Library • 시스템에 유입되는 패킷의 처리 과정 • 수신 버퍼에 일시 저장 • 인터럽트를 발생하여 I/O 버스라인을 통해 데이터가 시스템으로 전송 • 각종 라이브러리 드라이버들은 전송된 데이터를 수집 • 각각의 응용프로그램들은 라이브러리 드라이버가 수집한 데이터를 분석 후 출력

8. Library • DB(BerkeleyDataBase) • 리눅스를 웹서버용으로 설치했으면 기본적으로 설치되는 라이브러리 • C, C++, Java, Rerl, Tcl, Python, PHP 지원 • 멀티 스레드와 공유 버퍼, 메모리 관리 지원 • Dsniff 설치시 필요

9. Library • Libnids(Library Network IDS) • 스니퍼, 네트워크 분석 프로그램을 작성할 시 유용한 라이브러리 • 기능 - IP 패킷의재조합 - TCP 흐름재조합 - UDP 콜백 함수 - TCP 세션 강제 종료 함수

10. Library • OpenSSL(Secure Socket Layer) • Telnet, rlogin이 전송하는 데이터를 암호화 하기 위한 라이브러리 • OpenSSL로 통신하는 계정과 패스워드 등을 스니핑하기 위해서 설치 • SSH(Secure Shell) 프로토콜은 v1과 v2가 있으며 v1에는 1.3v과 1.5v이 있다 • RSA 키 교환 방식 사용

11. DNS ARP IP 서버와 클라이언트의 2계층 MAC 주소를 공격자의 MAC 주소로 속여 패킷을 가로채는 공격 방법 공격자는 가로챈 패킷을 원래 목적지로 전송해줘야 연결이 끊어지지 않음 트러스트 관계가 설정된 클라이언트의 IP 주소를 스푸핑하여 별도의 패스워드 없이 로그인이 가능하도록 만드는 공격 기법 웹 스푸핑과 비슷한 의미로 주소 창에 입력한 사이트가 나타나지 않고 다른 사이트가 나타나게 하는 공격 기법 Spoofing

12. Spoofing • ARP Spoofing 1. 명호는 먼저 10.0.0.2에 해당된 가짜 MAC 주소를 CC로 10.0.0.3에 해당하는 가짜 MAC 주소를 CC로 알렸다. 2. 명호는 철수와 영희 컴퓨터로부터 패킷을 받는다. 3. 각자에게 받은 패킷을 읽은 후 철수가 영희에게 보내고자 하던 패킷을 정상적으로 영희에게 보내주고, 영희가 철수에게 보내고자 했던 패킷을 철수에게 보내준다.

13. Spoofing • 공격 전과 공격 후의 패킷 흐름

14. Spoofing • IP Spoofing • 공격 대상 검색 • 트러스트 관계 확인 • 트러스트 관계된 시스템에 대한 IP주소 확보 • 트러스트 시스템의 클라이언트를 서버에 접근 불가능하도록 차단 • 공격자가 IP주소를 조작해 공격 대상에 접근 • 백도어 등으로 차후 공격 경로를 확보

15. Spoofing • IP Spoofing

16. Spoofing • DNSSpoofing 1. 클라이언트는 접속하고자 하는 www.wishfree.com과 같은 도메인 이름에 해당하는 IP 주소를 이미 설정된 DNS 서버에게 물어본다. 이때 보내는 패킷이 DNS query 패킷이다. 2. DNS 서버는 해당하는 도메인 이름에 대한 IP 주소를 클라이언트에게 보내준다. 3. 클라이언트는 받은 IP 주소를 바탕으로 웹 서버를 찾아간다. 정상적인 DNS 서비스

17. Spoofing • DNSSpoofing 1. 클라이언트가 DNS 서버로 DNS query 패킷을 보내는 것을 확인한다. 스위칭 환경일 경우에는 클라이언트가 DNS query 패킷을 보내면 이를 받아야 하므로 arp 스푸핑과 같은 선행 작업이 필요하다. 만약 허브를 쓰고 있다면 모든 패킷이 자신에게도 전달되므로 자연스럽게 클라이언트가 DNS query 패킷을 보낼 경우 이를 확인할 수 있다. DNS 질의

18. Spoofing • DNSSpoofing 2. 공격자는 로컬에 존재하므로 DNS 서버보다 지리적으로 가까운 위치에 있다. 따라서 DNS 서버가 올바른 DNS response 패킷을 보내주기 전에 클라이언트에게 위조된 DNS response 패킷을 보낼 수 있다. 공격자와 DNS 서버의 DNS 응답

19. Spoofing • DNSSpoofing 3. 클라이언트는 공격자가 보낸 DNS response 패킷을 올바른 패킷으로 인식하고, 웹에 접속한다. 지리적으로 멀리 떨어져 있는 DNS 서버가 보낸 DNS response 패킷은 버린다. DNS 스푸핑 공격의 성공

20. DNS ARP IP MAC 주소를 고정 시켜서 공격자가 공격해도 변하지 않도록 한다. 서버와 클라이언트 간에 트러스트를 사용하지 않는다. DNS 캐시에 중요한 사이트의 IP 주소를 기록한다. ※ 현재로선 특별한 대책이 없음. 보안 대책

21. 보안대책 • MAC 주소 확보 리눅스터미널 모드에서 Ping –b <브로드 캐스트 주소> 를 입력하여 로컬 네트워크 상의 MAC 주소를 확보해둔다. ※ Windows 계열 OS에서는 브로드 캐스트 핑 테스트를 할 수 없음

22. 보안대책 • MAC 주소의 static 설정 • Arp –a  MAC 테이블을 출력한 후 • Static으로 설정하고자 하는 IP 주소와 MAC 주소를 확인한 뒤 “arp –s <IP> <MAC>”의 명령을 내린다 • Arp –a로 변경사항 확인

23. 보안대책 • MAC 주소의 static 설정 Windows 계열 OS

24. 보안대책 • MAC 주소의 static 설정 Linux 계열 OS

25. 보안대책 • DNS 캐시 수정 <DNS 캐시의 경로> C:\WINDOWS\system32\drivers\etc

26. 보안대책 • DNS 캐시 수정 빨간줄 아래 부분에 아이피주소와 사이트 주소를 입력하면 해당 컴퓨터에서는 DNS 서버에 쿼리 패킷을 보내지 않고 해당 사이트에 바로 접속하게 된다.

27. Q n A !! 20042315 임현우

28. Thank You ! 20042315 임현우