Spoofing이란?
Spoof (눈속임) 에서 파생된 IT용어로서 직접적으로 시스템에 침입을 시도하지 않고 피해자가 공격자의 악의적인 시도에 의한 잘못된 정보, 혹은 연결을 신뢰하게끔 만드는 일련의 기법들을 의미한다. 인간의 약점을 노리는 피싱(phising)과 적극적으로 피해자의 시스템이 잘못된 정보를 신뢰하고 받아들이게끔 유도하며, 그렇기 때문에 특별한 검증 행위 없이는 자신이 속고 있음을 알아채기 힘들다. -wiki
대표적인 Spoofing 기술
- ARP Spoofing
- MAC 주소를 속이는 것
- 계층에서 작동 ⇒ 공격 대상이 같은 네트워크에 존재해야 함
- DNS Spoofing
-
실제 DNS 서버 보다 빠르게 위조된 DNS Response 패킷을 보내 공격 대상이 잘못된 IP 주소로 접속하도록 만드는 공격 방법
-
클라이언트는 공격자가 전달한 DNS Response를 받았으므로 정상적인 DNS Response는 drop
-
ARP Spoofing
ARP spoofing은 네트워크 보안 공격 기술 중 하나입니다. ARP는 주소 해상도 프로토콜(Address Resolution Protocol)의 약자로, 네트워크 장치가 IP 주소를 MAC 주소로 매핑할 때 사용
중간자 공격 (Man-in-the-Middle Attack): 공격자는 네트워크에서 통신 중인 두 대의 컴퓨터 사이에 들어가서 그들의 통신을 가로채고 조작할 수 있습니다. 공격자는 ARP 스푸핑을 통해 자신의 MAC 주소를 공격 대상의 IP 주소에 매핑시키므로, 공격 대상은 공격자를 중간자로 오해하고 그에게 향하는 모든 트래픽을 공격자를 통해 전달하게 됩니다.
대응책
방어 기술에는 ARP 캐시 검증, 정적 ARP 항목 구성, 네트워크 트래픽의 암호화, 네트워크 세그먼테이션이 포함된다.
DNS Spoofing
DNS spoofing은 공격자가 DNS 서버로부터 사용자의 요청에 대한 응답을 위조하여 보내는 것을 의미한다. 이를 통해 공격자는 사용자가 의도한 웹사이트 대신 공격자가 조작한 가짜 웹사이트로 리디렉션할 수 있다.
대응책
- 네임서버의 소프트웨어를 최신 버전 상태로 유지하여 알려진 취약점에 의한 공격이 발생하지 않도록 한다.
- 도메인 관리용 DNS 서버는 재귀적 질의를 허용하지 않도록 사용하고, 제한된 사용자가 사용하는 Recursive DNS 서버라면 해당 사용자로 제한해서 허용하도록 한다.
