IP Spoofing Session Hijaking 원리

ㅇ ㅂㅇ

IP Spoofing Session Hijaking 원리

> IP Spoofing
 - 공격자의 주소를 위장하는 방법(타겟이나 Router 등)
 - Trust Relation 을 악용한 것(IP만 일치하는 지 확인만 하고 세션을 성립 시키는 것)
   1단계 : 공격자가 세션을 뺏고자 하는 호스트에 DoS 공격
   2단계 : 공격자가 호스트의 IP로 자신을 속여 서버로 SYN 패킷을 전송
   3단계 : 서버가 보낸 SYN/ACK 패킷을 호스트는 받지 못하고 공격자가 Brute Forcing으로 Sequence Number를 맞춰 ACK 패킷을 보냄
   4단계 : Session 성립
 - 현재는 Sequence Number가 랜덤하게 변경되어 공격 불가능
 - 대응 방법
  -- Trust를 사용하지 않는 것이 좋음 (Trust는 TCP Wrapper가 처리를 한다고 함)
  -- 불가피한 경우 MAC 주소를 Static으로 고정하는 것이 좋음

> ARP Spoofing(ARP Cache Poisoning과 미묘한 차이)
 - 자신이 게이트웨이 인 것처럼 소경 네트워크 내 모든 패킷이 자신을 거쳐 가도록 하는 공격
  1단계 : 스니핑이 선행되어야 하며 랜카드는 Promiscuous 모드로 동작해야 함
  2단계 : ARP Request Broadcast 로 네트워크 상의 모든 IP와 MAC 주소를 알아냄
  3단계 : 공격자가 자신의 MAC 주소를 게이트웨이(HUB/Switch)의 MAC주소로 속여 네트워크 상의 호스트들의 APR Cache를 업데이트 시킴
  4단계 : 모든 패킷이 공격자 자신에게로 옴
 - 대응 방법
  -- ARP Table을 정적으로 고정(arp -s )
  -- Ingress Filtering : 외부에서 오는 패킷이 내부 인 척 하는 것을 거르는 필터링
  -- Egress Filtering : 내부에서 나가는 패킷이 내부의 주소가 아니면 거르는 필터링
  -- ARP Storm 확인 : 다량의 ARP Reply 가 지속적으로 발생하는 걸 확인

> Session Hijaking
 - 서버와 클라이언트 사이의 Session을 가로채는 기술
 - 대응 방법
  -- 데이터 전송 시 암호화하여 내용을 보지 못하게 해야 함
  -- 지속적인 인증 시스템 구축(일정 시간이 지난 후 재 인증 등)
  -- Ack Storm 의 탐지