¿ù°£ Àα⠰Խù°

°Ô½Ã¹° 17°Ç
   
[DoS°ø°Ý] IP Spoofing
±Û¾´ÀÌ : ÃÖ°í°ü¸®ÀÚ ³¯Â¥ : 2009-11-30 (¿ù) 20:53 Á¶È¸ : 12650
±ÛÁÖ¼Ò :
                       



Spoof¶õ ´Ü¾îÀÇ »çÀüÀû Àǹ̴ 'hoax; trick; swindle °ñÅÁ ¸ÔÀÌ´Ù.; ¼Ó¿©¸Ô´Ù.; ¾ß¹ÙÀ§(Ä¡´Ù), ¿ì·Õ, »çÃë'ÀÌ´Ù.
Áï ÇØÄ¿°¡ ¾Ç¿ëÇÏ°íÀÚ Çϴ ȣ½ºÆ®ÀÇ IP ¾îµå·¹½º¸¦ ¹Ù²Ù¾î¼­ À̸¦ ÅëÇØ ÇØÅ·À» ÇÏ´Â °ÍÀ» IP ½ºÇªÇÎÀÌ´Ù.


³×Æ®¿öÅ© ½Ã½ºÅÛ¿¡¼­ ¼­·Î ½Å·Ú°ü°è¿¡ ÀÖ´Â A, B µÎ ½Ã½ºÅÛ°£¿¡´Â A ½Ã½ºÅÛÀÇ ¾îÄ«¿îÆ®¸¦ °¡Áö°í B ½Ã½ºÅÛÀ» ¾×¼¼½º ÇÒ ¼ö ÀÖ´Ù.
ÀÌ´Â ³×Æ®¿öÅ©¿¡¼­ ½Å·Ú°ü°è¸¦ Çü¼ºÇÏ´Â ¼­ºñ½º°¡ ³×Æ®¿öÅ© ÁÖ¼Ò¿¡ ±â¹ÝÇÏ¿© À̸¦ ÀÎÁõÇϱ⠶§¹®ÀÌ´Ù.
ÀÌ·Î ÀÎÇØ IP ½ºÇªÇÎÀÌ °¡´ÉÇØ Áø´Ù.


IP ½ºÇªÇÎÀº ÀÌ ½Å·Ú°ü°è¿¡ ÀÖ´Â µÎ ½Ã½ºÅÛ»çÀÌ¿¡¼­ ÇØÄ¿ÀÇ È£½ºÆ®¸¦ ¸¶Ä¡ ÇϳªÀÇ ½Å·Ú°ü°è¿¡ Àִ ȣ½ºÆ®ÀÎ °Íó·³ ¼ÓÀÌ´Â °ÍÀÌ´Ù.
¶ÇÇÑ IP ½ºÇªÇΰú Ç×»ó ¿¬µ¿µÅ »ç¿ëµÇ´Â °ø°Ý¹ýÀ¸·Î TCP sequence number guessing attackÀ» µé ¼ö ÀÖ´Ù.


TCP Sequence Number Guessing AttackÀ̶õ?

°ú°Å¿¡ Internet wormÀÇ ÀúÀڷεµ À¯¸íÇß´ø Robert T.Morris°¡ º§ ¿¬±¸¼Ò¿¡¼­ ÀÎÅϽ±À¸·Î ÀÏÇÒ ¶§ ¾´ ³í¹®¿¡¼­ óÀ½À¸·Î ¾Ë·ÁÁ³°í AT&A»çÀÇ Bellovin S.MÀÌ 89³â ¾´ ³í¹®¿¡¼­µµ ¾ð±ÞÀÌ µÇ¾ú´ø °ø°Ý ¹æ¹ýÀÌ´Ù.(Security Problems in the TCP/IP Protocol Suite).
Kevin MitnickÀÌ »ç¿ëÇÑ ¹æ¹ý ¶ÇÇÑ, ÀÌ·± °ø°ÝÀ» ÀÌ¿ëÇØ ¸î ³â Àü¿¡ º¸¾È¾÷°è¸¦ ¶°µé¼®ÇÏ°Ô Çß¾ú´ø »ç°ÇÀÌ Çϳª ÀÖ´Ù. ¹Ù·Î Kevin MitnickÀÌ ½´ÆÛ ÄÄÇ»Åͼ¾ÅÍ ¼Ò¼Ó ¿¬±¸¿øÀÇ ÄÄÇ»Å͸¦ °ø°ÝÇØ ÀڷḦ »©°£ µÚ °ü¸®ÀÚÀÎ Tsutomu Shimomura¸¦ Á¶·ÕÇÏ°í ´Þ¾Æ³­ »ç°ÇÀÌ´Ù. Kevin MitnickÀº »ó´ç±â°£ µ¿¾È ÀâÈ÷Áö ¾Ê´Ù°¡ Tsutomu ShimomuraÀÇ ÃßÀû ³¡¿¡ °£½ÅÈ÷ ÀâÈù °ÍÀ¸·Î ÀÌ »ç°ÇÀº °á¸»ÀÌ ³µ´Ù. ¹Ù·Î ÀÌ »ç°Ç¿¡¼­ Kevin MitnickÀÌ ¾´ ¹æ¹ýµµ TCP Sequence Number Guessing AttackÀÇ Æ¯º°ÇÑ ÇÑ ÇüŶó°í ÇÒ ¼ö ÀÖ´Ù. (Kevin MitnickÀÌ »ç¿ëÇÑ ¹æ¹ýÀº IP ¾îµå·¹½º¸¦ spoofÇؼ­ Berlerly R-command(rlogin, rcp, rsh µî)¸¦ °ø°ÝÇÑ ¹æ¹ýÀ̾ú´Ù.)



½ºÇªÇο¡ °üÇÑ ¸ðµç °Í

TCP¿Í UDP ¼­ºñ½º´Â È£½ºÆ®ÀÇ IP ÁÖ¼Ò°¡ À¯È¿ÇÏ´Ù°í °¡Á¤ÇÏ°í, ±× °á°ú·Î ÁÖ¼Ò¸¦ ½Å·ÚÇÑ´Ù. ¾î·µç, ÇØÄ¿ÀÇ È£½ºÆ®´Â IP ¼Ò½º ¶ó¿ìÆÃÀ» »ç¿ëÇؼ­ ½Å·Ú¹Þ´Â È£½ºÆ®³ª Ŭ¶óÀ̾ðÆ®·Î º¯ÀåÇÒ ¼ö ÀÖ´Ù. ÇØÄ¿´Â IP ¼Ò½º ¶ó¿ìÆÃÀ» »ç¿ëÇؼ­ ¸ñÀûÁöÀÇ ±æÀ» ÁöÁ¤ÇÒ ¼ö ÀÖ°í, ¿ø·¡ À§Ä¡·Î µ¹¾Æ¿À´Â ±æµµ ÁöÁ¤ÇÒ ¼ö ÀÖ´Ù. °æ·Î(route)´Â ¿©·¯ºÐÀÌ ÆÐŶÀ» ¸ñÀûÁö¿¡ º¸³»´Â µ¥ »ç¿ëÇÏ´Â ¶ó¿ìÅͳª È£½ºÆ®¸¦ ¸»·Áµé °Ô ÇÒ ¼öµµ ÀÖ´Ù. ÀÌ ¹æ¹ýÀ¸·Î ÇØÄ¿´Â ÁøÂ¥ È£½ºÆ®·Î °¥ ÆÐŶÀ» ¸¸³ªÁö ¾Ê°íµµ Àü¼ÛÀ» °¡·Îä°Å³ª ¼öÁ¤ÇÒ ¼ö ÀÖ´Ù. ´ÙÀ½ÀÇ ¿¹´Â ¾î¶»°Ô ÇØÄ¿ÀÇ ½Ã½ºÅÛÀÌ Æ¯Á¤ÇÑ ¼­¹öÀÇ ½Å·Ú¹Þ´Â Ŭ¶óÀ̾ðÆ®·Î º¯ÀåÇÒ ¼ö ÀÖ´ÂÁö¸¦ º¸¿©ÁØ´Ù.


ÇØÄ¿´Â º¯Àå È£½ºÆ®ÀÇ IP ÁÖ¼Ò¸¦ ½Å·Ú¹Þ´Â Ŭ¶óÀ̾ðÆ®ÀÇ ÁÖ¼Ò¿Í ÀÏÄ¡ÇÏ°Ô º¯°æÇÑ´Ù.
IP ÆÐŶÀº Á÷Á¢ Æнº¸¦ ¼­¹ö·Î º¸³»¾ß ÇÏ°í, ÇØÄ¿ÀÇ È£½ºÆ®·ÎºÎÅÍ °¡Áö°í µ¹¾Æ¿Í¾ß¸¸ ÇÑ´Ù. ÇØÄ¿´Â ÀÌ Á÷Á¢ Æнº¸¦ ÁöÁ¤ÇÏ´Â ¼­¹ö·Î¼­ ¼Ò½º °æ·Î¸¦ ±¸¼ºÇÑ´Ù.
ÇØÄ¿´Â ¼Ò½º °æ·Î¸¦ »ç¿ëÇؼ­ ¼­¹ö¿¡°Ô Ŭ¶óÀ̾ðÆ® ¿äûÀ» º¸³½´Ù.
¼­¹ö´Â ¿äûÀÌ ½Å·Ú¹Þ´Â Ŭ¶óÀ̾ðÆ®·ÎºÎÅÍ Á÷Á¢ ¿Â °Íó·³ »ý°¢Çؼ­ Ŭ¶óÀ̾ðÆ® ¿äûÀ» ¹Þ¾ÆµéÀÌ°í, ½Å·Ú¹Þ´Â Ŭ¶óÀ̾ðÆ®¿¡°Ô ÀÀ´äÀ» º¸³½´Ù.
½Å·Ú¹Þ´Â Ŭ¶óÀ̾ðÆ®´Â ¼Ò½º °æ·Î¸¦ »ç¿ëÇؼ­ ÆÐŶÀ» ¼­¹öÀÇ È£½ºÆ®¿¡ º¸³½´Ù.

¸¹Àº À¯´Ð½º È£½ºÆ®´Â ¼Ò½º-¹ß¼ÛÀÇ ÆÐŶÀ» ¹Þ¾ÆµéÀÌ°í, ÀÌ ÆÐŶÀ» ¼Ò½º °æ·Î°¡ Áö½ÃÇÏ´Â °÷À¸·Î º¸³¾ °ÍÀÌ´Ù. ¸¹Àº ¶ó¿ìÅÍ´Â ¼Ò½º-¹ß¼ÛÀÇ ÆÐŶ ¶ÇÇÑ ¹Þ¾Æ µéÀÏ °ÍÀÌ´Ù.
Ŭ¶óÀ̾ðÆ®¸¦ ½ºÇªÇÎÇÏ´Â °£´ÜÇÑ ¹æ¹ýÀº Ŭ¶óÀ̾ðÆ®ÀÇ ½Ã½ºÅÛÀÌ Á¾·áÇÒ ¶§±îÁö ±â´Ù¸®°í, Ŭ¶óÀ̾ðÆ®ÀÇ ½Ã½ºÅÛÀ» Èä³» ³»´Â °ÍÀÌ´Ù. ¸¹Àº Á¶Á÷°ú ½ºÅÂÇÁ ¸â¹ö´Â °³Àοë ÄÄÇ»ÅÍ¿Í TCP/IP ¼ÒÇÁÆ®¿þ¾î¸¦ »ç¿ëÇؼ­ ¿¬°áÇÏ°í, À¯´Ð½º È£½ºÆ®¸¦ LAN ¼­¹ö·Î È°¿ëÇÑ´Ù. °³Àοë ÄÄÇ»ÅÍ´Â Á¾Á¾ À¯´Ð½ºÀÇ ³×Æ®¿öÅ© ÆÄÀÏ ½Ã½ºÅÛ(NFS)À» »ç¿ëÇؼ­ ¼­¹ö µð·ºÅ丮¿Í ÆÄÀÏ(NFS´Â IPÁÖ¼Ò¸¸À» »ç¿ëÇؼ­ Ŭ¶óÀ̾ðÆ®¸¦ È®ÀÎÇÑ´Ù.)¿¡ ¾×¼¼½ºÇÑ´Ù. ÇØÄ¿´Â ÁøÂ¥ Ŭ¶óÀ̾ðÆ®ÀΠüÇؼ­ °³Àοë È£½ºÆ®¿¡ÀÇ ¿¬°áÀ» ÃʱâÈ­ÇÑ´Ù. ÇØÄ¿´Â ÀÌ ½ºÇªÇÎ °ø°ÝÀ» ½±°Ô ÇàÇÒ ¼ö ÀÖ´Ù. °Ô´Ù°¡, ³»ºÎ »ç¶÷¸¸ÀÌ º¸È£µÈ ³×Æ®¿öÅ© ³»ÀÇ Á¾·áµÈ ÄÄÇ»ÅÍ°¡ ¾î¶² °ÍÀÎÁö ¾Ë °ÍÀ̱⠶§¹®ÀÌ °ø°ÝÀº ¾Æ¸¶ "³»ºÎ"°ø°ÝÀ̶ó°í ¾Ë·ÁÁú °ÍÀÌ´Ù.

ÀÎÅͳݻóÀÇ e-mailÀº ƯÈ÷ ¼ÓÀ̱Ⱑ ½±´Ù. ±×¸®°í ¿©·¯ºÐÀº ÀϹÝÀûÀ¸·Î µðÁöÅÐ ¼­¸í°ú °°Àº °ÍÀÌ ¾øÀ¸¸é e-mailÀ» ½Å·ÚÇÏÁö ¸øÇÒ °ÍÀÌ´Ù. °£´ÜÇÑ ¿¹·Î, ÀÎÅÍ³Ý È£½ºÆ®°¡ ¸ÞÀÏÀ» ±³È¯ÇÒ ¶§ÀÇ ±³È¯À» »ý°¢ÇØ º¸¶ó. ±³È¯Àº ASCII¹®ÀÚ ¸í·É¾î¸¦ »ç¿ëÇÏ´Â °£´ÜÇÑ ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇؼ­ ÀϾ´Ù. ħÀÔÀÚ´Â ÅÚ³ÝÀ» »ç¿ëÇؼ­ °£´ÜÇÏ°Ô ¼öµ¿À¸·Î ÀÌ ¸í·É¹®À» ÀÔ·ÂÇؼ­ ½Ã½ºÅÛÀÇ SMTP Æ÷Æ®·Î Á÷Á¢ ¿¬°áÇÒ ¼ö ÀÖ´Ù. ¹Þ´Â È£½ºÆ®´Â º¸³»´Â È£½ºÆ®ÀÇ id¸¦ ½Å·ÚÇϱ⠶§¹®¿¡ ÇØÄ¿´Â ÇØÄ¿ÀÇ ¿ø·¡ ÁÖ¼Ò¿Í ´Ù¸¥ º¸³»´Â ÁÖ¼Ò¸¦ ÀÔ·ÂÇÔÀ¸·Î½á °£´ÜÈ÷ ¸ÞÀÏÀÇ ±Ù¿øÁö¸¦ ¼ÓÀÏ ¼ö ÀÖ´Ù. °á°úÀûÀ¸·Î Ư±ÇÀÌ ¾øÀ̵µ ¾Æ¹« »ç¿ëÀÚ³ª °£´ÜÈ÷ e-mailÀ» ¼ÓÀÏ ¼ö ÀÖ´Ù.



½ºÇªÇÎ °ËÃâÇϱâ

ºñµ¿±âÈ­ °ø°Ý°ú´Â ´Þ¸®, IP ½ºÇªÇÎ °ø°ÝÀº °ËÃâÇس»±â Èûµé´Ù. ¸¸¾à ¿©·¯ºÐÀÇ »çÀÌÆ®°¡ ÀÎÅÍ³Ý ¶ó¿ìÅÍÀÇ ¿ÜºÎ ÀÎÅÍÆäÀ̽ºÀÇ ³×Æ®¿öÅ© Æ®·¡ÇÈÀ» ¸ð´ÏÅÍÇÒ ¼ö ÀÖ´Â ±â´ÉÀÌ ÀÖ´Ù¸é ¿©·¯ºÐÀº ¶ó¿ìÅ͸¦ ÅëÇØ µé¾î¿À´Â Æ®·¡ÇÈÀ» °Ë»çÇÒ ¼ö ÀÖ´Ù. ¿©·¯ºÐÀÌ Æ®·¡ÇÈÀ» °Ë»çÇÒ ¶§ ½Ã½ºÅÛ ·Î±×(Log)¿¡ Æ®·¡ÇÈÀÇ ±â·ÏÀ» ³²°Ü¾ß ÇÑ´Ù. °Ë»ç(audit)±â·ÏÀ» »ç¿ëÇؼ­ ¿©·¯ºÐÀÇ Áö¿ª µµ¸ÞÀο¡ Æ÷ÇÔµÈ ¸ñÀûÁö ÁÖ¼Ò¿Í ¼Ò½º ÁÖ¼Ò¸¦ °¡Áö°í ÀÖ´Â ÆÐŶÀ» °Ë»çÇÒ ¼ö ÀÖ´Ù. ¿©·¯ºÐÀº ÀÎÅͳݿ¡¼­ ¿©·¯ºÐÀÇ ³×Æ®¿öÅ©·Î µé¾î¿À´Â ¸ñÀûÀÌ ÁÖ¼Ò¿Í ³»ºÎÀÇ ¼Ò½º¸¦ ´ã°í ÀÖ´Â ÆÐŶÀ» °áÄÚ Ã£À» ¼ö ¾øÀ» °ÍÀÌ´Ù. ¿©·¯ºÐÀÇ ¶ó¿ìÅ͸¦ Åë°úÇÏ´Â ÁÖ¼Ò¸¦ ´ã°í ÀÖ´Â ÆÐŶÀ» ¹ß°ßÇϸé ÀÌ°ÍÀº IP ¼ÓÀ̱⠰ø°ÝÀÌ ÁøÇà ÁßÀ̶ó´Â °ÍÀ» ³ªÅ¸³»´Â È®·üÀÌ ³ô´Ù.


tcpdump¿Í netlog¸¦ »ç¿ëÇؼ­ ½ºÇªÇο¡ ´ëÇ×Çϱâ

¹«·á ¼ÒÇÁÆ®¿þ¾îÀÎ tcpdump¿Í netlog´Â À¯´Ð½º ½Ã½ºÅÛÀÇ ÆÐŶ ¸ð´ÏÅ͸µÀ» ÇÏ´Â °ÍÀ» µµ¿ÍÁØ´Ù.
¿©·¯ºÐÀº tcpump¸¦ ftp.ee.lbl.govhrÀÇ /tcpdump.tar.Z¿¡¼­ ´Ù¿î·Îµå ¹ÞÀ» ¼ö ÀÖ´Ù.(tcpumpÀÇ MD5 üũ¼¶Àº 4D8975B18CAD40851F382DDFC9BD638FÀÌ´Ù.). ¿©·¯ºÐÀÌ tcpdumpÆÐÅ°Áö¸¦ ¼³Ä¡ÇÑ ÈÄ ´ÙÀ½¿¡ ´ÙÀ½ÀÇ ¸í·É Çà Áö½Ã¸¦ µû¶ó¼­ domain.name ³×Æ®¿öÅ© ¼Ò½º¿Í µ¥½ºÆ¼³×ÀÌ¼Ç IPÁÖ¼Ò¸¦ °¡Áö°í ÀÖ´Ù°í tcpdump°¡ ÁöÁ¤ÇÏ´Â ¸ðµç ÆÐŶÀ» Ãâ·ÂÇÑ´Ù.
#tcpdump src net domain.name(Enter)
#tcpdump dst net domain.name(Enter) 


Ãß°¡ÀûÀ¸·Î ¿©·¯ºÐÀº Åػ罺 A&M ´ëÇп¡¼­ °³¹ßµÈ netlog ÆÐÅ°Áö¸¦ coast.cs.purdue.eduÀÇ ÆÄÀÏ /pub/tools/unix/TAMU/netlog-1.2.tar.gz¿¡¼­ ´Ù¿î·Îµå ¹ÞÀ» ¼ö ÀÖ´Ù.(MD5 üũ¼¶Àº 1DD62E7E96192456E9C75047C38E994BÀÌ´Ù.) ¿©·¯ºÐÀÌ netlog¸¦ ¼³Ä¡ÇÑ ´ÙÀ½¿¡ ´ÙÀ½ÀÇ ¸í·É¾î·Î netlog¸¦ È£ÃâÇÑ´Ù.


#tcplogger -b | extract -U -e 'srcnet=X.Y.O.O {print}' 


Tcplogger ¸í·É¹®Àº netlog¿¡°Ô °°Àº ³×Æ®¿öÅ© ³»¿¡ ¼Ò½º¿Í µ¥½ºÆ¼³×ÀÌ¼Ç ÁÖ¼Ò¸¦ °¡Áö°í ÀÖ´Â ÆÐŶÀ» °Ë»öÇÑ´Ù.

Tcplogger¸¦ ½ÇÇà½ÃŲ ´ÙÀ½¿¡ netlog´Â ¼Ò½º¿Í µ¥½ºÆ¼³×ÀÌ¼Ç ¹üÁãÀÇ ÆÐŶÀ» ¸®ÅÏÇÒ °ÍÀÌ´Ù.



½ºÇªÇÎ ¹æÁöÇϱâ

ÀÌ¹Ì Á¦½ÃÇßµíÀÌ ½ºÇªÇÎ µÈ ÆÐŶ ³»ÀÇ ¾ç ÁÖ¼Ò´Â Á¾Á¾ ¿©·¯ºÐÀÇ ³×Æ®¿öÅ©ÀÇ ³»ºÎ ÁÖ¼Ò¿Í ÀÏÄ¡ÇÑ´Ù. IP ½ºÇªÇÎ °ø°ÝÀÇ °¡Àå ÃÖ°íÀÇ ¹æ¾î´Â ¿©·¯ºÐÀÇ Áö¿ª µµ¸ÞÀο¡¼­ Ãâ¹ßÇß´Ù°í ÁÖÀåÇÏ´Â ÆÐŶÀ» °É·¯³»µµ·Ï ¶ó¿ìÅÍ¿¡ ÀÔ·ÂÇÏ´Â °ÍÀÌ´Ù. ¸î¸î°³ÀÇ ¶ó¿ìÅÍ È¸»ç´Â ÀÔ·Â ÇÊÅÍ(input filter)·Î ¾Ë·ÁÁø ´ÙÀ½ÀÇ ÆÐŶ ÇÊÅ͸µ ±â´ÉÀ» Áö¿øÇÑ´Ù.

Bay Networks/Wekfleet, ¹öÀü 5 ÀÌÈÄ
Cabletron
Cisco, RIS ¼ÒÇÁÆ®¿þ¾î ¹öÀü 9.21 ÀÌÈÄ
Livingston
ÇöÀç ¶ó¿ìÅÍ Çϵå¿þ¾î°¡ ÆÐŶ ÇÊÅ͸µÀ» Áö¿øÇÏÁö ¾ÊÀ¸¸é ¿©·¯ºÐÀº ÇöÀçÀÇ ¶ó¿ìÅÍ¿Í ÀÎÅÍ³Ý ¿¬°á »çÀÌ¿¡ µÎ ¹ø° ·ç¿ìÅ͸¦ ¼³Ä¡Çصµ µÈ´Ù.

µÎ ¹ø° ¶ó¿ìÅ͸¦ »ç¿ëÇؼ­ ½ºÇªÇÎµÈ IP ÆÐŶÀ» °É·¯ ³¾ ¼ö ÀÖ´Ù. 
 

À̸§ Æнº¿öµå
ºñ¹Ð±Û (üũÇÏ¸é ±Û¾´À̸¸ ³»¿ëÀ» È®ÀÎÇÒ ¼ö ÀÖ½À´Ï´Ù.)
¿ÞÂÊÀÇ ±ÛÀÚ¸¦ ÀÔ·ÂÇϼ¼¿ä.
   

 



 
»çÀÌÆ®¸í : ¸ðÁö¸®³× | ´ëÇ¥ : ÀÌ°æÇö | °³ÀÎÄ¿¹Â´ÏƼ : ·©Å°´åÄÄ ¿î¿µÃ¼Á¦(OS) | °æ±âµµ ¼º³²½Ã ºÐ´ç±¸ | ÀüÀÚ¿ìÆí : mojily°ñ¹ðÀÌchonnom.com Copyright ¨Ï www.chonnom.com www.kyunghyun.net www.mojily.net. All rights reserved.