IP 스푸핑, MAC 스푸핑, ARP 스푸핑

IP 스푸핑(IP Spoofing)

IP 스푸핑은 네트워크 공격 기법 중 하나로, 공격자가 자신의 IP 주소를 위조하여 다른 컴퓨터나 네트워크 장치를 속이는 행위를 말합니다. 이 기법은 주로 권한 없는 접근, 데이터 도청, 서비스 거부(DoS) 공격 등을 수행하기 위해 사용됩니다.

작동 원리

IP 스푸핑은 IP 패킷 헤더에 있는 발신자 IP 주소(SRC IP)를 위조하여 공격 대상이 이를 신뢰하도록 만드는 방식으로 작동합니다. IP 프로토콜은 발신자 주소를 검증하지 않기 때문에 이러한 위조가 가능합니다. 공격자는 자신이 실제로 소유하지 않은 IP 주소를 사용해 합법적인 사용자나 장치로 가장할 수 있습니다.

주요 유형

  1. Blind Spoofing (블라인드 스푸핑): 공격자가 응답 패킷을 받을 수 없는 상태에서, 예상되는 패킷 구조를 기반으로 공격을 시도하는 방법입니다. 보통 시스템의 순차적인 패킷 번호를 예측해 패킷을 위조합니다.

  2. Non-Blind Spoofing (논블라인드 스푸핑): 공격자가 목표 시스템과 같은 네트워크에 존재하며, 전송된 패킷을 직접 관찰할 수 있는 상황에서 실행됩니다. 이를 통해 더 정교한 공격이 가능합니다.

활용 사례

  1. DDoS(분산 서비스 거부) 공격: 다수의 IP를 스푸핑하여 공격 대상을 과도한 트래픽으로 마비시키는 데 사용됩니다.

  2. Man-in-the-Middle (중간자 공격): 스푸핑을 통해 네트워크 상의 데이터를 가로채거나 조작합니다.

  3. 권한 상승: 신뢰하는 IP로 가장하여 네트워크 자원에 무단으로 접근합니다.

방어 방법

  1. 패킷 필터링: 네트워크 경계에서 유입되는 패킷의 출발지 주소를 확인하여, 내부 네트워크에 적합하지 않은 패킷을 차단합니다.

  2. 역방향 경로 검증(RPF): 라우터에서 패킷의 발신 경로를 검사하여 위조된 IP 주소를 필터링합니다.

  3. 암호화와 인증: VPN이나 SSL과 같은 암호화된 통신을 통해 데이터 무결성과 인증을 강화합니다.

  4. IDS/IPS 시스템 활용: 침입 탐지/방지 시스템을 사용하여 스푸핑과 같은 비정상적인 트래픽을 감지하고 차단합니다.

MAC 스푸핑(MAC Spoofing)

MAC 스푸핑은 공격자가 네트워크 인터페이스 카드(NIC)의 물리적 주소인 MAC 주소(Media Access Control Address)를 위조하여 네트워크 상의 다른 장치로 가장하는 행위를 말합니다. MAC 주소는 일반적으로 네트워크 하드웨어에 고유하게 부여되지만, 소프트웨어적으로 변경이 가능하다는 점을 악용한 공격 기법입니다.

MAC 스푸핑의 원리

MAC 스푸핑은 주로 다음과 같은 방식으로 이루어집니다:

  1. MAC 주소 위조: 운영 체제나 네트워크 장치 설정에서 제공하는 기능을 이용하여 NIC의 MAC 주소를 원하는 값으로 변경합니다.
  2. 가로채기 또는 가장: 네트워크에서 특정 MAC 주소를 사용 중인 장치로 가장하거나, 통신 패킷을 가로채기 위해 위조된 MAC 주소를 사용합니다.

MAC 스푸핑의 주요 목적

  1. 네트워크 액세스 권한 획득: 특정 MAC 주소만 허용하는 네트워크(예: MAC 주소 기반 필터링을 사용하는 Wi-Fi 네트워크)에 접근하려는 시도에 사용됩니다.

  2. Man-in-the-Middle 공격: 위조된 MAC 주소를 통해 통신 흐름을 가로채고, 데이터를 도청하거나 수정합니다.

  3. IP 충돌 유발: 네트워크 내 다른 장치와 동일한 MAC 주소를 사용하여 IP 충돌이나 네트워크 혼란을 일으킵니다.

  4. 사용자 신분 숨기기: 추적을 피하기 위해 공격자의 실제 MAC 주소를 감추는 데 사용됩니다.

MAC 스푸핑의 활용 사례

  1. 공공 Wi-Fi 해킹: 등록된 MAC 주소만 허용하는 네트워크에서 다른 사용자로 가장하여 인터넷에 접근합니다.
  2. ARP 스푸핑과 결합: ARP(Address Resolution Protocol) 테이블을 조작하여 네트워크 트래픽을 특정 장치로 유도하는 공격에 사용됩니다.
  3. 보안 우회: 조직 내부 네트워크에서 MAC 주소 기반 접근 제어를 우회하기 위해 사용됩니다.

MAC 스푸핑 방어 방법

  1. 포트 보안(Port Security): 네트워크 스위치에서 각 포트에 허용된 MAC 주소를 제한하여 위조된 MAC 주소를 차단합니다.

  2. 동적 ARP 검사(Dynamic ARP Inspection, DAI): 스위치에서 ARP 요청과 응답을 검증하여 위조된 MAC 주소를 탐지하고 차단합니다.

  3. 네트워크 액세스 제어(NAC): 인증된 장치만 네트워크에 연결되도록 보안 정책을 설정합니다.

  4. 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS): 비정상적인 MAC 주소 변경이나 충돌을 실시간으로 탐지하고 대응합니다.

  5. 로그 모니터링: 네트워크 장치 로그를 주기적으로 확인하여 MAC 주소 위조 시도를 탐지합니다.

ARP 스푸핑(ARP Spoofing)

ARP 스푸핑은 네트워크 공격 기법 중 하나로, ARP(Address Resolution Protocol)를 악용해 공격자가 네트워크 내에서 데이터 패킷을 가로채거나 조작하는 방식입니다. 이 공격은 일반적으로 로컬 네트워크(LAN)에서 발생하며, ARP의 신뢰 구조를 악용하여 장치 간의 통신을 가로채거나 변경합니다.

ARP 스푸핑의 작동 원리

  1. ARP의 기본 작동:

    • ARP는 IP 주소를 MAC 주소로 변환하기 위해 사용됩니다.
    • 네트워크 장치는 ARP 테이블에 IP-MAC 매핑 정보를 저장합니다.
    • 장치가 특정 IP 주소로 패킷을 전송하려면 해당 IP의 MAC 주소를 확인해야 하며, 이를 ARP 요청/응답을 통해 수행합니다.
  2. 스푸핑 과정:

    • 공격자가 네트워크에 접속한 후, ARP 응답 패킷을 위조하여 자신을 게이트웨이 또는 타깃 장치로 가장합니다.
    • 예를 들어, 공격자는 자신의 MAC 주소를 네트워크 게이트웨이의 MAC 주소로 위조하여 타깃 장치가 데이터를 공격자에게 전송하도록 만듭니다.
  3. 결과:

    • 타깃 장치는 가짜 ARP 응답을 신뢰해 공격자의 MAC 주소를 저장하며, 이후 데이터를 공격자에게 전달하게 됩니다.
    • 이로 인해 공격자는 데이터 패킷을 가로채거나 변조할 수 있습니다.

ARP 스푸핑의 주요 목표

  1. Man-in-the-Middle (중간자 공격): 네트워크 트래픽을 가로채고, 이를 분석하거나 조작합니다.

  2. 데이터 도청: 민감한 정보를 포함한 데이터(예: 로그인 정보, 비밀번호 등)를 가로채는 데 사용됩니다.

  3. DoS(서비스 거부) 공격: ARP 테이블을 지속적으로 혼란시키거나, 트래픽을 차단하여 네트워크 연결을 마비시킵니다.

  4. 네트워크 탐색 및 공격 준비: 네트워크 내 다른 장치들의 IP와 MAC 주소 정보를 수집하기 위해 사용됩니다.

ARP 스푸핑의 탐지 및 방어 방법

  1. 정적 ARP 테이블 설정:

    • ARP 테이블에 특정 IP-MAC 매핑 정보를 수동으로 설정하여 변경을 방지합니다.
    • 그러나 이 방식은 대규모 네트워크에서는 관리가 어렵습니다.
  2. ARP 검사(DAI, Dynamic ARP Inspection):

    • 네트워크 스위치에서 ARP 요청 및 응답 패킷을 모니터링하여 비정상적인 패킷을 차단합니다.
  3. 암호화된 통신 사용:

    • ARP 스푸핑으로 민감한 데이터를 탈취하지 못하도록 SSL, TLS, VPN 등 암호화된 통신 프로토콜을 활용합니다.
  4. 침입 탐지 시스템(IDS) 및 방지 시스템(IPS):

    • 네트워크에서 ARP 관련 비정상적인 활동을 감지하고 차단합니다.
  5. 네트워크 세그멘테이션:

    • 네트워크를 세분화하여 공격 범위를 줄이고, ARP 스푸핑의 영향을 제한합니다.
  6. ARPWatch와 같은 툴 사용:

    • ARP 테이블 변화를 실시간으로 모니터링하여 비정상적인 MAC-IP 매핑을 감지합니다.
같은 카테고리의 다른 글
네트워크 / TTL(Time To Live)

네트워크 / TTL(Time To Live)

개요 TTL은 Time To Live의 약자로, IP 패킷 헤더의 한 필드이다. TTL 필드는 패킷이 네트워크를 통해 전달될 때 패킷이 머무를 수 있는 최대 홉(hop) 수를 지정한다. 이 필드는 패킷이 무한히 순환하지 않도록 방지하는 데 사용된다. TTL의 동작 방식은 다음과 같다. 패킷이 네트워크를 통해 전송될 때 송신자는 TTL 값을 설정한다. 이 값은 일반적으로 64, ...

하이패스 사용 내역 확인하고 출력하는 방법

하이패스 사용 내역 확인하고 출력하는 방법

현대카드의 하이패스를 사용하고 있는데 카드 명세서에는 금액만 찍힌다. 그래서 언제 어디에서 사용한 것인지 알 수가 없다. 정확히 언제 어디서 사용한 것인지 알아야 한다면, 그리고 건별 영수증이 필요하다면 고속도로 통행료 홈페이지로 가자. 원하는 정보를 얻을 수 있다. 회원 가입을 하고... 카드 등록을 한다. 에서... 조건을 지정하여 내역을 조회할 수 있다. 영수증이 필요하면 선택을 한 후 ...

문명 6 / 세이브 파일 저장 위치

문명 6 / 세이브 파일 저장 위치

문명 6을 시작했다. 이렇게 쓰면 문명 1, 2, 3 ,4, 5를 해본 것처럼 보일 수 있지만, 문명이란 게임을 처음 하는 것이다. 중독성이 강하다는 데, 아직 초보라 그런지 재미가 그다지... 어쩌면 게임 방법 공부하는 게 싫어서 그런지도... 일단은 노트북에 설치했다. GEFORCE GTX 1050을 탑재한 노트북이라 플레이에는 별 문제가 없는데, 발열이 끝내준다. 그 ...

KT 멤버쉽 또는 롯데면세점 혜택으로 롯데렌터카 저렴하게 예약하는 방법

KT 멤버쉽 또는 롯데면세점 혜택으로 롯데렌터카 저렴하게 예약하는 방법

제주도 여행을 위해 차를 렌트하게 되었다. 제주도에는 렌트카 업체가 다양하게 있는데, 워낙 안 좋은 기사를 많이 봐서 대형 업체에서 빌리기로 했다.  대형 업체 중 롯데렌터카로 정했는데, 롯데렌터카 공식 홈페이지에서 예약하는 것보다 제휴 업체를 통해 예약하는 게 더 저렴하더라. 대표적인 제휴업체는 KT와 롯데면세점. 두 군데 모두 예약 방식이나 할인 정도는 같았다. 예를 들어 ...

보안 / IDS - Intrusion Detection System

Intrusion Detection System(IDS)는 네트워크나 시스템에서 발생하는 활동을 모니터링하고, 악의적인 활동이나 정책 위반을 탐지하여 관리자에게 경고를 보내는 보안 장치입니다. IDS는 침입 방지 시스템(IPS)과는 달리, 탐지된 위협을 차단하지 않고 알림을 통해 관리자에게 통보하는 역할을 합니다. 주요 특징 실시간 모니터링 네트워크 트래픽이나 시스템 로그를 실시간으로 모니터링하여 이상 활동을 탐지합니다. 위협 탐지 악의적인 활동, 정책 위반, 비정상적인 트래픽 패턴 ...

네트워크 / 네임서버

네임서버(Name Server)는 도메인 네임 시스템(DNS, Domain Name System)의 핵심 구성 요소로, 도메인 이름과 IP 주소를 연결해주는 역할을 합니다. 네임서버는 인터넷이 현재와 같은 방식으로 작동할 수 있도록 하는 중요한 인프라 중 하나로, 사용자가 웹사이트에 접속할 때 웹 브라우저가 도메인 이름을 입력하면 해당 도메인 이름을 IP 주소로 변환해주는 기능을 수행합니다. 도메인 네임 시스템(DNS)의 ...

보안 / Zero Trust

보안 / Zero Trust

제로 트러스트(Zero Trust)는 네트워크 보안 모델로, 아무도 신뢰하지 않고 항상 검증한다는 원칙에 기반합니다. 이는 기존의 경계 기반 보안 모델과는 달리, 네트워크 내부에 있더라도 모든 사용자와 디바이스의 신뢰를 가정하지 않으며, 사용자가 누구인지, 그들이 사용하려는 기기가 안전한지, 그리고 해당 자원에 접근할 필요가 있는지 등을 지속적으로 검증합니다. 제로 트러스트의 핵심 원칙 기본 가정: 신뢰하지 않는다: 제로 ...

경기도교육청 상용클라우드 계정 만들고 오피스365, 한컴오피스 2018 설치하는 방법

경기도교육청 상용클라우드 계정 만들고 오피스365, 한컴오피스 2018 설치하는 방법

아이가 학교에서 컴퓨터를 배웁니다. 프리젠테이션을 배웠는데 한쇼로 만듭니다. 그리고 과제가 나옵니다. 한쇼로 뭔가를 만들어오라고... 만약 집에 한쇼가 없다면 어떻게 할까요? 아이 과제를 위해 사야할까요? 다행히도 초중고 학생이라면 교육청에서 한컴오피스 사용권을 받을 수 있습니다. MS 오피스 사용권도 얻을 수 있구요. 다음은 교육청에서 MS 오피스, 한컴오피스 사용권을 얻는 방법입니다. 경기도교육청의 사례이고, 다른 지역 ...

DNS / DMARC 레코드의 용도와 설정하는 방법

DNS / DMARC 레코드의 용도와 설정하는 방법

DMARC란? DMARC는 Domain-based Message Authentication Reporting and Conformance의 약자이다. DNS 레코드를 이용하여 메일이 해당 도메인에서 정상적으로 발송되었음을 증명하는 방법에는 SPF, DKIM이 있다. SPF와 DKIM 테스트를 통과하지 못한 메일에 대해서 어떻게 처리했으면 하는지를 DMARC 레코드로 수신 메일 서버에 알려준다. DMARC 레코드에 대한 자세한 내용은 RFC 7489 문서에 있다. DMARC 레코드 설정하는 방법 DMARC 레코드는 TXT 레코드로, 호스트는 ...

스팀 / 자녀 보호 설정하는 방법, 해제하는 방법

스팀 / 자녀 보호 설정하는 방법, 해제하는 방법

요즘 아이들은 게임으로 논다. 멀티플레이 게임도 많으니까 혼자 논다고 볼 수는 없다. 친구들과 함께 게임을 즐긴다. 그러려면 게임을 사줘야 하는데, 아무 거나 사줄 수도 없고, 아무거나 플레이하게 할 수도 없다. 그래서 게임 판매자는 청소년에 대한 제한을 두고 있다. 그건 스팀도 마찬가지다. 스팀에는 자녀 보호라는 이름의 기능으로 아이의 게임을 제한한다. 그렇다고 뭔가 ...