IP 스푸핑 소개(및 방지 방법)

신원 도용은 매체에 관계없이 항상 위협이 됩니다. 소위 "IP 스푸핑"은 악의적인 사용자가 해킹 시도에 대한 빠른 신뢰를 얻는 일반적인 방법입니다.

모든 컴퓨터와 서버에는 고유한 식별자("인터넷 프로토콜" 또는 IP 주소)가 있으므로 인터넷을 사용하는 거의 모든 사람이 취약할 수 있습니다. IP 스푸핑은 가장 기술로 원본 주소(예: 이메일 주소)의 모양을 "위조"하는 방법입니다. 다양한 형태로 나타날 수 있으므로 각별히 주의해야 합니다.

이 게시물을 통해 우리는 IP 스푸핑, 그것이 무엇인지, 왜 표적이 되는지 등에 대해 이야기할 것입니다. 우리는 또한 여러분이 직면하게 될 가장 일반적인 IP 스푸핑 공격과 IP 스푸핑의 합법적인 사용에 대해서도 이야기할 것입니다.

IP 스푸핑이란 무엇입니까?

일반적으로 IP 스푸핑은 인터넷을 통해 보내는 데이터의 일부를 가져와 합법적인 소스에서 온 것처럼 보이게 합니다. IP 스푸핑은 다양한 공격에 대한 광범위한 용어입니다.

• IP 주소 스푸핑: DoS(서비스 거부) 공격 등을 수행하기 위해 공격자의 IP 주소를 난독화하는 것입니다.
• DNS(도메인 이름 서버) 스푸핑: DNS의 소스 IP를 수정하여 도메인 이름을 다른 IP로 리디렉션합니다.
• ARP(주소 확인 프로토콜) 스푸핑: ARP 스푸핑 시도는 보다 복잡한 공격 중 하나입니다. 여기에는 스푸핑된 ARP 메시지를 사용하여 컴퓨터의 MAC(미디어 액세스 제어) 주소를 합법적인 IP에 연결하는 작업이 포함됩니다.

좀 더 기술적으로 설명하자면 IP 스푸핑은 데이터를 가져와 네트워크 수준에서 식별 가능한 일부 정보를 변경합니다. 이것은 스푸핑을 거의 감지할 수 없게 만듭니다.

예를 들어 DoS 공격을 해보세요.

이것은 스푸핑된 IP 주소를 사용하는 봇 모음을 사용하여 데이터를 특정 사이트와 서버로 보내고 오프라인 상태로 만듭니다. 여기에서 IP를 스푸핑하면 너무 늦을 때까지 공격을 탐지하기 어렵고 사실을 추적하는 것도 마찬가지로 어렵습니다.

MITM(Machine-in-the-middle) 공격은 MITM 접근 방식이 두 끝점 간의 가짜 신뢰에 의존하기 때문에 IP 스푸핑도 활용합니다. 이 두 가지 공격에 대해서는 나중에 더 자세히 설명하겠습니다.

IP 스푸핑이 발생하는 방법

IP 스푸핑을 더 잘 이해하기 위해 인터넷이 데이터를 보내고 사용하는 방법에 대한 컨텍스트를 제공하겠습니다.

모든 컴퓨터는 IP 주소를 사용하며 전송하는 모든 데이터는 많은 청크("패킷")으로 나뉩니다. 각 패킷은 개별적으로 이동합니다. 그런 다음 체인 끝에 도달하면 다시 조립되어 전체로 제공됩니다. 또한 모든 패킷에는 원본과 대상 모두의 IP 주소를 포함하는 식별 가능한 정보("헤더")도 있습니다.

이론적으로 이는 데이터가 변조되지 않은 대상에 도착하도록 보장해야 합니다. 그러나 항상 그런 것은 아닙니다.

IP 스푸핑은 원본 IP 헤더를 사용하고 일부 세부 정보를 변경하여 정품처럼 보이게 합니다. 따라서 이것은 가장 엄격하고 안전한 네트워크도 위반할 수 있습니다. 그 결과 웹 엔지니어는 종종 웹을 통해 이동하는 정보를 보호하는 새로운 방법을 찾으려고 합니다.

예를 들어 IPv6은 암호화 및 인증을 구축하는 최신 프로토콜입니다. 최종 사용자의 경우 SSH(보안 셸) 및 SSL(보안 소켓 계층)이 공격을 완화하는 데 도움이 되지만 이것이 문제를 근절할 수 없는 이유는 나중에 설명하겠습니다. 구현하는 암호화 단계가 많을수록 적어도 이론상으로는 컴퓨터를 더 잘 보호할 수 있습니다.

IP 스푸핑은 불법 행위가 아니기 때문에 만연해 있다는 점도 주목할 가치가 있습니다. 다른 섹션에서 논의할 IP 스푸핑의 합법적인 용도가 많이 있습니다. 따라서 IP 스푸핑 자체가 해커의 발을 들지만 신뢰를 깨는 데 사용되는 유일한 기술은 아닐 수 있습니다.

IP가 스푸핑의 대상인 이유

모든 도덕적, 윤리적 고려 사항을 제쳐두고 다른 사람의 사용자 ID는 엄청난 가치와 가치가 있습니다. 결국, 기회가 주어지면 기꺼이 다른 사람의 신분을 사용하여 도덕적 반향 없이 무언가를 얻으려는 나쁜 배우들이 많이 있습니다.

IP 주소 스푸핑은 많은 악의적인 사용자가 추구하는 높은 가치입니다. IP 스푸핑 행위는 큰 가치가 없지만 얻을 수 있는 기회는 대박이 될 수 있습니다.

예를 들어, IP 스푸핑을 통해 사용자는 의심하지 않는 사용자로부터 개인 정보(및 그 이상)를 얻기 위해 더 신뢰할 수 있는 주소로 가장할 수 있습니다.

이것은 다른 사용자에게도 영향을 줄 수 있습니다. 해커는 모든 대상의 IP를 스푸핑할 필요가 없습니다. 방어를 위반하는 데 하나만 필요합니다. 이러한 획득하지 않은 자격 증명을 사용하여 동일한 해커가 네트워크에서 다른 사람의 신뢰를 얻고 개인 정보를 공유하도록 유도할 수도 있습니다.

따라서 IP 자체는 가치가 없습니다. 그러나 스푸핑된 IP로 무엇을 하느냐에 따라 그 결과는 막대할 수 있으며 IP 스푸핑을 통해 다른 시스템에 액세스할 가능성도 크지 않습니다.

IP 스푸핑 공격의 가장 일반적인 3가지 유형

IP 스푸핑은 특정 유형의 공격에 적합합니다. 다음으로 3가지를 살펴보겠습니다.

1. 봇넷 마스킹

봇넷은 공격자가 단일 소스에서 제어하는 ​​컴퓨터 네트워크입니다. 이러한 각 컴퓨터는 악의적인 행위자를 대신하여 공격을 수행하는 전용 봇을 실행합니다. IP 스푸핑 없이는 봇넷을 마스킹하는 기능이 불가능하다는 것을 알게 될 것입니다.

정상적인 상황에서 해커는 맬웨어와 같은 감염을 통해 제어권을 얻습니다. 봇넷을 사용하면 악의적인 사용자가 스팸 공격, DDoS 공격, 광고 사기, 랜섬웨어 공격 등을 실행하는 데 도움이 될 수 있습니다. 다른 사용자를 대상으로 한 소규모 교전을 수행하는 다재다능한 방법입니다.

그 이유 중 일부는 IP 스푸핑입니다. 네트워크의 각 봇에는 종종 스푸핑된 IP가 있어 악의적인 행위자가 추적하기 어렵습니다.

여기서 IP 스푸핑의 주요 이점은 법 집행을 회피하는 것입니다. 그러나 이것이 유일한 것은 아닙니다.

예를 들어, 스푸핑된 IP가 있는 봇넷을 사용하면 대상이 소유자에게 문제를 알리는 것도 중지됩니다. 우선, 이것은 공격을 연장하고 해커가 다른 표시에 초점을 "피봇"하게 할 수 있습니다. 이론적으로 이는 결과를 최대화하기 위해 무한 기반으로 공격을 실행할 수 있습니다.

2. 직접 서비스 거부(DDoS) 공격

서버의 과도하고 압도적인 악성 트래픽으로 인해 사이트가 다운되는 경우, 이는 DDoS 공격입니다. 모든 사이트 소유자에게 심각한 피해를 줄 수 있으며 그 영향을 완화할 수 있는 방법은 여러 가지가 있습니다.

여기에는 전체 공격을 생성하기 위해 결합되는 여러 관련 스푸핑 공격 및 기술이 포함됩니다.

DNS 스푸핑

첫째, 악의적인 사용자는 네트워크에 침투하기 위해 DNS 스푸핑을 찾습니다. 악의적인 행위자는 스푸핑을 사용하여 DNS와 연결된 도메인 이름을 다른 IP 주소로 변경합니다.

여기에서 추가 공격을 수행할 수 있지만 맬웨어 감염이 널리 사용되는 선택입니다. 기본적으로 탐지 없이 합법적인 소스에서 악성 소스로 트래픽을 전환하기 때문에 다른 컴퓨터를 감염시키기 쉽습니다. 거기에서 더 많은 시스템이 감염에 굴복하고 봇넷을 만들어 DDoS 공격을 효율적으로 수행할 것입니다.

IP 주소 스푸핑

DNS 스푸핑 후 공격자는 네트워크 내의 개별 봇을 난독화하는 데 도움이 되도록 다른 IP 주소 스푸핑을 수행합니다. 이것은 종종 영구 무작위화 과정을 따릅니다. 따라서 IP 주소는 너무 오랫동안 동일하게 유지되지 않으므로 감지 및 추적이 사실상 불가능합니다.

뉴스레터 신청

트래픽을 1000% 이상 증가시킨 방법을 알고 싶으십니까?

WordPress 내부자 팁이 포함된 주간 뉴스레터를 받는 20,000명 이상의 다른 사람들과 함께하십시오!

지금 구독

이 네트워크 수준 공격은 최종 사용자가 탐지하는 것이 불가능합니다(많은 서버 측 전문가도 당황하게 함). 결과 없이 악의적인 공격을 수행하는 효과적인 방법입니다.

ARP 중독

ARP 스푸핑(또는 "중독")은 DDoS 공격을 수행하는 또 다른 방법입니다. 이는 봇넷을 마스킹하는 무차별 대입 방식과 IP 스푸핑보다 훨씬 더 복잡하지만 이 둘을 통합하여 공격을 수행합니다.

아이디어는 근거리 통신망(LAN)을 대상으로 하고 악성 ARP 데이터 패킷을 통해 전송하여 MAC 테이블에 설정된 IP 주소를 변경하는 것입니다. 공격자가 한 번에 많은 수의 컴퓨터에 액세스할 수 있는 쉬운 방법입니다.

ARP 포이즈닝의 목표는 감염된 컴퓨터를 통해 모든 네트워크 트래픽을 채널링한 다음 거기에서 조작하는 것입니다. 이것은 공격자의 컴퓨터를 통해 간단하게 수행할 수 있으며 DDoS 또는 MITM 공격 중에서 선택할 수 있습니다.

3. MITM 공격

MITM(Machine-in-the-Middle) 공격은 특히 복잡하고 매우 효과적이며 네트워크에 매우 치명적입니다.

이러한 공격은 연결하는 서버(예: 웹 브라우저 사용)에 데이터가 도달하기 전에 컴퓨터에서 데이터를 가로채는 방법입니다. 이렇게 하면 공격자가 가짜 웹사이트를 사용하여 사용자와 상호 작용하여 정보를 훔칠 수 있습니다. 경우에 따라 공격자는 두 개의 합법적인 소스 간의 전송을 가로채는 제3자이므로 공격의 효율성이 높아집니다.

물론 MITM 공격은 사용자가 알지 못하는 사이에 신뢰 위반이 있어야 하므로 IP 스푸핑에 의존합니다. 또한 해커가 장기간에 걸쳐 계속해서 데이터를 수집하여 다른 사람에게 판매할 수 있기 때문에 다른 사람에 비해 MITM 공격을 수행하는 것이 더 큰 가치가 있습니다.

MITM 공격의 실제 사례는 IP 스푸핑이 어떻게 작용하는지 보여줍니다. IP 주소를 스푸핑하여 개인 통신 계정에 액세스하면 해당 통신의 모든 측면을 추적할 수 있습니다. 거기에서 정보를 선별하고 가짜 웹사이트로 사용자를 라우팅하는 등의 작업을 수행할 수 있습니다.

전반적으로 MITM 공격은 사용자 정보를 획득하는 위험하고 수익성 높은 방법이며 IP 스푸핑이 그 중심 부분입니다.

IP 스푸핑이 사이트와 사용자에게 위험한 이유

IP 스푸핑은 낮은 네트워크 수준에서 발생하기 때문에 인터넷의 거의 모든 사용자에게 위험합니다.

피싱과 스푸핑은 함께 발생합니다. 그리고 좋은 스푸핑 공격은 피싱 시도로 나타나지 않습니다. 이는 사용자가 경계할 필요가 없으며 결과적으로 민감한 정보를 넘겨줄 수 있음을 의미합니다.

보안 시스템 및 방화벽과 같은 비즈니스 크리티컬 요소가 주요 타겟이 될 것입니다. 이것이 사이트 보안이 많은 사람들의 최우선 관심사인 이유입니다. 공격을 완화하는 데 충분한 기능을 구현해야 할 뿐만 아니라 네트워크 사용자가 경계하고 우수한 보안 사례를 사용하도록 해야 합니다.

그러나 IP 스푸핑의 한 측면은 억제를 덜 간단하게 만듭니다. 이 기술은 웹 전체에 합법적인 사용 사례가 많이 있습니다.

IP 스푸핑의 적법한 사용

IP 스푸핑에는 악의적이지 않은 사용 사례가 많기 때문에 다른 사람이 사용하지 못하도록 막을 수 있는 방법은 거의 없습니다.

예를 들어, 수천 명의 "윤리적 해커"가 회사를 위한 테스트 시스템을 찾습니다. 이러한 유형의 윤리적 해킹은 보안 리소스와 강점을 테스트하기 위해 설계된 승인된 시스템 위반입니다.

이는 악성 해킹과 동일한 절차를 따릅니다. 사용자는 목표물에 대한 정찰 작업을 수행하고 시스템에 대한 액세스 권한을 획득 및 유지하며 침투를 난독화합니다.

비윤리적인 해커가 윤리적인 유형으로 전환하여 과거에 목표로 삼았던 회사에 취직하는 경우가 종종 있습니다. 적절한 자격 증명을 얻는 데 도움이 되는 공식 시험 및 인증도 찾을 수 있습니다.

일부 회사는 시스템 침해와 관련 없는 시뮬레이션 연습에서 IP 스푸핑을 사용하기도 합니다. 예를 들어 대량 메일 아웃은 수천 개의 IP 주소에 대한 좋은 사용 사례이며 모두 (합법적인) 스푸핑을 통해 만들어야 합니다.

사용자 등록 테스트는 IP 스푸핑을 사용하여 결과도 시뮬레이션합니다. 많은 사용자를 시뮬레이션해야 하는 모든 상황은 윤리적 IP 스푸핑에 이상적인 경우입니다.

IP 스푸핑을 방지할 수 없는 이유

스푸핑은 발견하기가 매우 까다롭고 방법의 특성이 실제 신원을 숨기는 것이기 때문에 이를 방지하기 위해 할 수 있는 일은 거의 없습니다. 그러나 위험을 최소화하고 영향을 무효화할 수 있습니다.

최종 사용자(즉, 클라이언트 측 시스템)는 어떤 식으로든 스푸핑을 멈출 수 없다는 점에 유의하는 것이 중요합니다. IP 스푸핑을 최대한 방지하는 것이 서버 측 팀의 임무입니다.

해커와 잠재적 대상 사이에 장애물을 추가하는 몇 가지 방법이 있습니다. 지금까지 언급된 일부는 다음과 같습니다.

• IPv6과 같은 보다 안전한 프로토콜 사용
• 사이트 및 네트워크를 사용할 때 사용자 기반이 우수한 개별 보안을 구현하도록 합니다.
• 사이트에서 SSL 및 SSH 구현

하지만 할 수 있는 일이 더 있습니다. 예를 들어 Sucuri와 같은 전용 웹 애플리케이션 방화벽(WAF)을 사용할 수 있습니다. 이 방화벽은 사이트 주변에 "높은 벽을 구축"하는 데 도움이 됩니다.

또한 PKI(Public Critical Infrastructure)를 구현하여 사용자 및 관련 데이터를 인증할 수 있습니다. 이것은 데이터를 암호화하고 해독하기 위해 개인 및 공개 키 조합에 의존합니다. 암호화의 특성 때문에 해커가 침입하기가 훨씬 더 어렵습니다.

네트워크 모니터링은 IP 스푸핑 또는 관련 공격의 징후를 발견하는 데도 도움이 되는 기본 기술입니다. 이것은 다양한 형태를 취할 수 있지만 시스템에 대해 더 잘 알수록 악의적인 공격을 발견할 가능성이 높아집니다.

패킷 필터링은 IP 스푸핑 시도를 방지하는 데도 도움이 될 수 있습니다. "Ingress" 및 "egress" 필터링은 수신 및 발신 통신에 대한 소스 헤더를 확인합니다. 어떤 것이 해당 필터를 통과하지 못하면 네트워크 내의 사용자에게 영향을 미치지 않습니다.

마지막으로 DPI(심층 패킷 검사)도 이와 유사한 효과적인 기술입니다. 여기에 있는 다른 방법과 함께 이 방법을 결합하여 네트워크 또는 서버를 보강할 수도 있습니다.

요약

귀하의 IP 주소는 현재 사용 중인 모든 컴퓨터에 대해 고유한 것입니다. 이 주소는 인증, 암호화 등과 같은 많은 작업을 수행하는 데 도움이 됩니다. 확장하면 거의 모든 IP 주소가 해커나 범죄자가 될 대상이 됩니다.

IP 스푸핑은 주소의 합법성을 가장하고 이를 사용하여 보안 네트워크를 침해하여 추가 이익을 얻습니다.

IP 스푸핑을 수정하는 것은 최종 사용자가 통제할 수 없는 일이며 시스템 관리자도 처리하기 어려울 수 있습니다. 전반적으로 IP 스푸핑이 네트워크에 미치는 영향은 전체적으로 근절하기 보다는 완화할 수만 있습니다.

그럼에도 불구하고 잠재적으로 악의적인 사용자를 방해할 수 있는 많은 장애물이 있습니다. 우수한 방화벽 및 네트워크 모니터링 전략과 마찬가지로 일반적인 암호화 방법이 도움이 됩니다.

당신은 IP 스푸핑의 피해자이며, 그렇다면 어떻게 상황을 해결했습니까? 아래 의견 섹션에서 생각을 공유하십시오!