Spoofing(ARP Spoofing)

Spoofing 개념

   • 침입, 공격의 목적으로 데이터를 위/변조하는 모든 행위

   • 변조하는 데이터 종류

      ⸰ MAC주소, IP주소, Port주소 등

Spoofing 종류

   • ARP Spoofing(ARP Cache Poisoning)

   • IP Spoofing

   • DNS Spoofing

   • DHCP Spoofing 등

 

ARP Spoofing

   • Host의 ARP Cache Table 내 IP에 해당하는 MAC주소 변조를 통해 데이터의 흐름을 공격자로 유도

   • 공격 형태

      ⸰ 변조한 ARP를 이용하여 공격

      ⸰ ARP Spoofing: Host ↔ Host 공격

      ⸰ ARP Redirect: Host ↔ Router 공격

   • 공격 목적

      ⸰ Victim에 대한 데이터 획득 및 MAC주소를 이용한 데이터 흐름 변경(L2 Sniffing)

      ⸰ 본 공격 전 사전 공격으로 활용

   • ARP Cache의 재변경을 막기 위해 공격을 수행하는 동안 변조된 ARP 지속적 전송

      ⸰ ARP Storm 발생 가능

   • 공격에 이용되는 취약점

      ⸰ ARP의 인증부재: ARP의 메커니즘 내 인증 기능 X

      ⸰ ARP Cache Table은 최신 정보를 실시간 업데이트

   • 한계: Local Network에서만 공격 가능 > Attacker와 Victim 같은 네트워크에 위치 필요

   • Tools: arpspoof, ettercap 등

   • 공격원리

      ⸰ 정상통신: ARP Table의 MAC 주소를 이용해 통신할 대상에게만 데이터 전달

      ⸰ 공격

            ‣ Attacker: 변조한 ARP Reply를 공격대상에게 전송

            ‣ Victim: Attacker의 공격으로 통신 대상의 IP주소에 매치되는 MAC주소가 Attacker로 변경

   • Forwarding(MITM 형태의 공격)

      ⸰ Sniffing한 데이터를 본래의 목적지로 재전송

      ⸰ Attacker는 정상 통신 경로의 중간에서 데이터 획득(Victim 정상통신)

      ⸰ Forwarding을 수행하지 않는 경우: DoS 공격

      ⸰ 종류

            ‣ Software Forwarding

               - Forwarding 동작 수행이 가능한 프로그램을 통해 재전송

               - 프로그램에 의한 Forwarding 동작이므로 오작동 가능성 높음

               - 사용 예시: fragrouter <option> / fragrouter -B1(Base-1: 일반 Forwarding)

            ‣ Kernel Forwarding

               - 시스템 Kernel의 Routing 기능 활성화를 통해 재전송

               - 하드웨어적인 Forwarding 동작이므로 오작동 가능성 낮음

      ⸰ 운영체제별 Forwarding 방법

            ‣ Linux Kernel Forwarding

               - sysctl net.ipv4.ip_forward=1

            ‣ Window Kernel Forwarding

               - Registry 변경 or Routing 서비스 활성화

               - 실행-regedit-\HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter 값 1로 설정

   • ARP Redirect

      ⸰ 외부로 전송되는 데이터 전체 Sniffing

      ⸰ Host와 Gateway 통신 Sniffing 공격

   • Sniffing 탐지

      ⸰ 네트워크 트래픽 모니터링(ARP Storm 확인)

      ⸰ Decoy(유인): 가짜 계정을 네트워크 상으로 흘려 이를 사용하는 시스템 탐지

      ⸰ Promiscuous Mode 동작 시스템 감지

            ‣ Unknown Unicast, Broadcast에 가짜 MAC주소를 DMAC으로 설정하여 ARP Request or ICMP Echo Request 전달

            ‣ 해당 요청에 응답을 보낸 시스템에서 Promiscuous Mode가 동작한다고 판단

      ⸰ 변조된 ARP 정보 확인

      ⸰ 중요 시스템들의 IP와 MAC Matching 리스트 작성 후 변조여부 확인

      ⸰ 관리 네트워크에서 변경되는 시스템의 정보를 모니터링하는 도구

            ‣ Tools: Arpwatch, Xarp

            ‣ IP와 MAC주소 쌍을 Database 등록 후 신규 생성 및 변경되는 이벤트 발생 시 관리자에게 메일로 알림

      ⸰ Arpwatch

            ‣ 중요 시스템의 ARP Cache Table의 변경 유무를 모니터링하는 도구

            ‣ 정상적인 IP-MAC주소 목록 등록(/var/arpwatch/arp.dat) 후 정보 변경 등과 관련한 이벤트 발생 시 관리자 이메일을 통해 알림

            ‣ 설정파일: /etc/sysconfig/arpwatch

               - -u: arpwatch 사용자, -e: 메일주소, -s: 송신자, -n: 감시할 네트워크 대역

               - 사용 예시: OPTIONS="-u arpwatch -e 'ktest@kh.com' -s 'root(Arpwatch)' -n 172.16.10.0/24"

            ‣ 장애 통보 메일 항목

               - New Station: arp.dat 파일에 새로운 호스트 등록

               - Changed Ethernet Address: arp.dat 파일 내용 변경

               - Flip Flop: 중복된 MAC주소 발생(Sniffing 공격 탐지)

   • 보안

      ⸰ Host 보안

            ‣ 중요 시스템 ARP Cache 정적 운영

            ‣ Unix/Linux: Shell Script 파일로 작성 후 Booting Script 등록

            ‣ Windows: Batch 파일로 작성 후 시작 프로그램 등록

      ⸰ Network 장비 보안

            ‣ Dynamic ARP Inspection

            ‣ Cisco Switch/보안 솔루션에서 지원하는 기능 > ARP, IP 해석이 가능해야 함

            ‣ Switch에서 ARP ACL을 통해 지정된 IP의 MAC으로 통신이 허용되도록 Filtering

               - 설정

                    arp access-list arptest   #ARP ACL list 생성

                    permit ip host <IP 주소> mac host <MAC 주소>   #통신 허용할 목록(조건) 설정

                    ip arp inspection vlan <Num>   #VLAN에 ARP inspection 활성화

                    interface <인터페이스 명>   #제외할 interface

                    ip arp inspection trust   #신뢰 port 설정(Filtering X)