ARP Spoofing

 

Sniffing 이랑 Spoofing 의 차이는 간단하게 Copy & Paste 하겠다. (귀찮으므로....)

스니핑(Sniffing) : Sniffing이란 단어의 사전적 의미는 ‘코를 킁킁거리다’, ‘냄새를 맡다’ 등의 뜻이 있다. 사전적인 의미와 같이 해킹 기법으로서 스니핑은 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 엿듣는 것을 의미한다. 간단히 말하여 네트워크 트래픽을 도청(eavesdropping)하는 과정을 스니핑이라고 할 수 있다

스푸핑(Spoofing) : Spoof란 단어의 사전적 의미는 'hoax; trick; swindle 골탕 먹이다.; 속여먹다.; 야바위(치다), 우롱, 사취'이다. 즉 해커가 악용하고자 하는 호스트의 IP 어드레스를 바꾸어서 이를 통해 해킹을 하는 것을 IP 스푸핑이다.

먼저 Spoofing 종류와 개념을 알아보자.

IP Spoofing : IP 스푸핑은 말그대로 IP를 속이는 것이다. 실례로 케빈 미트닉이 1995년 체포될 당시 IP Spoofing 공격으로 모토로라, 선마이크로시스템즈, NEC, 노벨등의 컴퓨터 전산망에 침투하여 중요자료를 훔쳤다. 
TCP SYN flooding + TCP Squence Number Guessing + IP Spoofing를 이용하여 공격하였다.

TCP SYN flooding : 공격자가 서버에 SYN을 보내면 SYN+ACK를 서버가 보내준다 그러면 원래 ACK패킷을 보내면 연결이 되는 것인데 ACK를 보내지 않고 SYN을 계속 보내면 서비스거부가 되어버린다.

E-mail Spoofing : E-mail Spoofing은 메일의 헤더부분의 날짜, 보낸 사람 등을 조작하여 스팸 메일이 아닌 것처럼 보이게 조작하는 것을 말한다.
원인은 SMTP(Simple Mail Transfer Protocol)가 인증 메커니즘이 없어서 공격자가 중간에서 변조하여 보내도 확인을 할 수가 없다. (요즘은 인증이 될라나 ?? ;; 직접 확인해보세요)

DNS Spoofing : DNS 스푸핑이란 공격자가 DNS와 요청을 보낸 하위 DNS서버 사이에서 트래픽을 스니핑하다가 Query ID라는 값을 통해 공격자가 만든 임의의 사이트의 IP를 최종 응답으로 보냄으로써 피해자는 원하지 않는 사이트로 이동하게 된다

etc ...

ARP Spoofing 개념도

두 호스트는 정상적인 통신을 하다가 , 공격자가 Ettercap 이나 Cain 이나 (tool은 자유) 를 통해 Mac 주소를 변경하게 되면 희생자는 gw 를 공격자로 오인하게 된다.
이후 ... game end 공격자는 희생자의 모든 Packet을 전부 보고 변조할 수 있기 때문입니다.

살짝 응용 해볼까요 ?
우선 ARP Spoofing 은 좀 제약이 있다. LAN 상에서만 가능하기 때문이다.
KRCERT 에도 보고되고 예전에 한창 (약 3~4년전) 유행했던 기법이다.

이 경우에는 iframe = 0 값으로 공격한 경우인데 피해 IP 는 약 62만개 정도 되었다고 하네요.

○ 피해 네트워크 환경  : 부산 모 통신 IDC 호스팅 업체
○ 시스템 용도 : 웹 서버
○ 운영체제 : Linux

i frame 코드 삽입 예

<iframe src=http://ghlee.tistory.com/index.html height=0 width=0></iframe>

Ettercap 으로 실제 패킷을 변형해 보는 실습

실제 TEST 환경 (IP는 끝에만 공개)
공격자 :74 (OS : WINDOWS XP)
희생자 A : 51 (OS : Lixux)
희생자 B : 67 (OS : Windows 2000)

1. 필터링할 파일(test2.ecf) 파일을 만든다

2. Test2.ecf 파일을 실행가능한 파일(.ef) 파일로 컴파일한다.
- Etterfilter –o test2.ef test.ecf

3 . Victim A,B의 컴퓨터사이에서 ARP 스푸핑과 동시에 MITM 공격할 준비를 한다.
4. Victim B(windows 2000 AS)가 파일 전송할 준비를 한다.
5. 공격자는 MIMT 공격을 시작한다.
- Victim B (패킷을 전송 보낼 준비를 한다. )

6. Victim A는 파일을 받을 준비를 한다.

7. 두 Victim컴퓨터는 파일을 전송한다.

8. 받은 파일을 확인해보면 패킷이 변형되어 있는 것을 볼 수 있다.

ARP Soofing 에 대한 해결방법

1. 데이터를 송수신을 할 떄에 암호화를 한다. (많이 좋아졌음 , 불과 3~4년전만 해도 plan text)
2. Arp Cache Table 에 Mac address를 Static 으로 고정시킨다. (Network 유연성에 문제가 있음)
3. 시스템 로그를 남긴다. (현실적으로 언제다보고 있니 ?)
4. Tcpdump 나 netlog 와 같은 툴로 packet 모니터링 (요즘은 좋은 장비 많음)