IP 스푸핑

IP 스푸핑(spoofing)

• 해커가 자신의 IP주소를 악용하고자 하는 호스트의 IP 주소로 변조
• ACL 통제를 회피할 수 있는 공격 방법
  • ACL(Access Control List)
    • 접근 통제 방법. 네트워크 방화벽을 통한 트래픽 필터링 방법.
    • 라우터를 통과하는 패킷을 필터링하는 목록으로 네트워크에 대한 접근을 허용 또는 거부하는 기능
• 변조된 IP를 사용하기 때문에 추적이 어려움
• TCP/IP 구조적 결함을 이용한 공격 방법 - 인증 방법의 부재
• 공격자를 신뢰 관계에 있는 호스트(관리자)인 것처럼 속임
  • 신뢰 관계: 특정 시스템의 IP와 신뢰 관계를 맺고(서버에 등록) 로그인 없이 접속을 허락하는 것

 

공격방법

• 서버와 클라이언트 B(관리자)는 신뢰 관계를 맺고 있음(ACL)
• 클라이언트 A(공격자)가 서버에 접근하고자 함(3-way handshaking 과정)
  1. 송신 IP 주소를 B의 주소로 변조(IP spoofing) 후 SYN 패킷을 전송
  2. 서버는 클라이언트 B에게 ACK+SYN 패킷을 보냄
  3. 클라이언트 B는 SYN을 보낸 적이 없으므로 RST(reset) 패킷을 전송
  4. 서버와 클라이언트는 세션을 종료

• 먼저 서비스 거부(DoS) 공격으로 클라이언트 B를 동결시키면 IP 스푸핑으로 서버와 세션 연결 가능
  1. 공격자는 클라이언트 B를 DoS 공격으로 동결시킴
  2. 공격자는 송신자 IP 주소를 B로 변조하여 SYN 패킷을 보냄
  3. 서버는 B에 ACK+SYN 패킷을 보내고 응답을 기다림
  4. 공격자는 Blind Attack 방식으로 ACK(ack storm)를 보냄
  5. 서버와 공격자의 세션이 연결됨
• TCP 시퀀스 번호를 알고 공격하면 Non-Blind, 모르고 공격하면 Blind 공격