Upload
lanai
View
83
Download
0
Embed Size (px)
DESCRIPTION
Internet Security. 인터넷 보안 스푸핑 (Spoofing). 20042315 임현우. Contents. 스푸핑이란 ?. 1. 필수 라이브러리. 2. ARP 스푸핑. 3. IP 스푸핑. 4. DNS 스푸핑. 5. 스푸핑 보안 대책. 6. 스푸핑이란 ?. Spoof(ing) 사전적 의미 - 속여 넘김 , 눈속임 IP, Host Name, MAC 주소 등 여러가지를 속일 수 있다. . Libnet. - PowerPoint PPT Presentation
Citation preview
인터넷 보안
스푸핑(Spoofing)
20042315 임현우
Internet Security
Contents
스푸핑이란 ?1
필수 라이브러리2
ARP 스푸핑3
IP 스푸핑4
DNS 스푸핑
스푸핑 보안 대책6
5
2
스푸핑이란 ?
Spoof(ing)
사전적 의미 - 속여 넘김 , 눈속임
IP, Host Name, MAC 주소 등 여러가지를 속일 수 있다 .
<Windows 환경에서의 IP 주소 충돌 경고 >
3
필수 라이브러리
OpenSSL
LibnetLibpcap
DB
Libnids
Library
4
Library
Libnet(Library Network)
패킷 생성 라이브러리
①네트워크와 메모리 초기화
②패킷 생성 후 체크섬 생성
③패킷의 투입
‘Libpcap’ 라이브러리와 함께 사용
5
Library
Libpcap(Library Packet Capture)
네 트 워 크 카 드 에 유 입 된 정 보 를 응 용 프로그램이 읽을 수 있는 형태로 전환
각 운영체제별 패킷 캡쳐 라이브러리
6
Library
시스템에 유입되는 패킷의 처리 과정
① 수신 버퍼에 일시 저장
② 인터럽트를 발생하여 I/O 버스라인을 통해 데이터가 시스템으로 전송
③ 각종 라이브러리 드라이버들은 전송된 데이터를 수집
④ 각각의 응용프로그램들은 라이브러리 드라이버가 수집한 데이터를 분석 후 출력
7
Library
DB(Berkeley DataBase)
리 눅 스 를 웹 서 버 용 으 로 설 치 했 으 면 기본적으로 설치되는 라이브러리
C, C++, Java, Rerl, Tcl, Python, PHP 지원
멀티 스레드와 공유 버퍼 , 메모리 관리 지원
Dsniff 설치시 필요
8
Library
Libnids(Library Network IDS)
스니퍼 , 네트워크 분석 프로그램을 작성할 시 유용한 라이브러리
기능
- IP 패킷의 재조합 - TCP 흐름 재조합
- UDP 콜백 함수 - TCP 세션 강제 종료 함수
9
Library
OpenSSL(Secure Socket Layer)
Telnet, rlogin 이 전송하는 데이터를 암호화 하기 위한 라이브러리
OpenSSL 로 통신하는 계정과 패스워드 등을 스니핑하기 위해서 설치
SSH(Secure Shell) 프로토콜은 v1 과 v2가 있으며 v1 에는 1.3v 과 1.5v 이 있다
RSA 키 교환 방식 사용
10
Spoofing
ARP
서버와 클라이언트의 2 계층 MAC 주소를 공격자의 MAC 주소로 속여 패킷을 가로채는 공격 방법
공격자는 가로챈 패킷을 원래 목적지로 전송해줘야 연결이 끊어지지 않음
IP
트러스트 관계가
설정된 클라이언트의
IP 주소를 스푸핑하여
별도의 패스워드 없이
로그인이 가능하도록
만드는 공격 기법
DNS
웹 스푸핑과 비슷한
의미로 주소 창에
입력한 사이트가
나타나지 않고 다른
사이트가 나타나게
하는 공격 기법
11
Spoofing
ARP Spoofing
1. 명호는 먼저 10.0.0.2 에 해당된 가짜 MAC 주소를 CC 로 10.0.0.3 에 해당하는 가짜 MAC 주소를 CC 로 알렸다 .
2. 명호는 철수와 영희 컴퓨터로부터 패킷을 받는다 .
3. 각자에게 받은 패킷을 읽은 후 철수가 영희에게 보내고자 하던 패킷을 정상적으로 영희에게 보내주고 , 영희가 철수에게 보내고자 했던 패킷을 철수에게 보내준다 .
12
Spoofing
공격 전과 공격 후의 패킷 흐름
13
Spoofing
IP Spoofing
① 공격 대상 검색
② 트러스트 관계 확인
③ 트러스트 관계된 시스템에 대한 IP 주소 확보
④ 트러스트 시스템의 클라이언트를 서버에 접근 불가능하도록 차단
⑤ 공격자가 IP 주소를 조작해 공격 대상에 접근
⑥ 백도어 등으로 차후 공격 경로를 확보
14
Spoofing
IP Spoofing
15
Spoofing
DNS Spoofing1. 클라이언트는 접속하고자 하 는 www.wishfree.com 과 같은 도메인 이름에 해당하는 IP
주 소 를 이 미 설 정 된 DNS
서 버 에 게 물 어 본 다 . 이 때 보 내 는 패 킷 이 DNS query
패킷이다 .
2. DNS 서버는 해당하는 도메인 이 름 에 대 한 IP 주 소 를 클라이언트에게 보내준다 .
3. 클 라 이 언 트 는 받 은 IP
주 소 를 바 탕 으 로 웹 서 버 를 찾아간다 .
정상적인 DNS 서비스
16
Spoofing
DNS Spoofing1. 클라이언트가 DNS 서버로 DNS query 패킷을 보내는 것을 확인한다 . 스위칭 환경일 경우에는 클라이언트가 DNS
query 패킷을 보내면 이를 받아야 하므로 arp 스푸핑과 같은 선행 작업이 필요하다 .
만약 허브를 쓰고 있다면 모든 패킷이 자신에게도 전달되므로 자연스럽게 클라이언트가 DNS
query 패킷을 보낼 경우 이를 확인할 수 있다 . DNS 질의
17
Spoofing
DNS Spoofing
2. 공격자는 로컬에 존재하므로 DNS 서버보다 지리적으로 가까운 위치에 있다 . 따라서 DNS 서버가 올바른 DNS
response 패킷을 보내주기 전에 클라이언트에게 위조된 DNS response 패킷을 보낼 수 있다 .
공격자와 DNS 서버의 DNS 응답
18
Spoofing
DNS Spoofing
3. 클라이언트는 공격자가 보낸 DNS response 패킷을 올바른 패킷으로 인식하고 , 웹에 접속한다 . 지리적으로 멀리 떨어져 있는 DNS 서버가 보낸 DNS response 패킷은 버린다 .
DNS 스푸핑 공격의 성공
19
보안 대책
ARP
MAC 주소를 고정 시켜서 공격자가 공격해도 변하지 않도록 한다 .
IP
서버와 클라이언트
간에 트러스트를
사용하지 않는다 .
DNS
DNS 캐시에 중요한
사이트의 IP 주소를
기록한다 .
※ 현재로선 특별한
대책이 없음 .
20
보안대책
MAC 주소 확보리눅스 터미널 모드에서
Ping –b < 브로드 캐스트 주소 >
를 입력하여 로컬 네트워크 상의 MAC 주소를 확보해둔다 .
※ Windows 계열 OS 에서는 브로드 캐스트 핑 테스트를 할 수 없음
21
MAC 주소의 static 설정
① Arp –a MAC 테이블을 출력한 후
② Static 으로 설정하고자 하는 IP 주소와 MAC 주소를 확인한 뒤 “ arp –s <IP>
<MAC>” 의 명령을 내린다
③ Arp –a 로 변경사항 확인
보안대책
22
MAC 주소의 static 설정
Windows 계열 OS
보안대책
23
MAC 주소의 static 설정
Linux 계열 OS
보안대책
24
DNS 캐시 수정
보안대책
25
<DNS 캐시의 경로 >C:\WINDOWS\system32\drivers\etc
DNS 캐시 수정
보안대책
26
빨간줄 아래 부분에 아이피주소와 사이트 주소를 입력하면 해당 컴퓨터에서는 DNS
서버에 쿼리 패킷을 보내지 않고 해당 사이트에 바로 접속하게 된다 .
20042315 임현우
20042315 임현우