1. IP Spoofing?
spoofing이라는 것은 '속이다' 라는 의미이고 IP spoofing은 IP를 속여서 공격하는 기법을 의미한다
1-1. 방법
- 순서제어번호 추측(Sequence number guessing)
- 반(Half)접속시도 공격(SYN flooding)
- 접속가로채기(Connection hijacking)
- RST를 이용한 접속끊기(Connection killing by RST)
- FIN을 이용한 접속끊기(Connection killing by FIN)
- SYN/RST패킷 생성공격(SYN/RST generation)
- 네트워크 데몬 정지(killing the INETD)
- TCP 윈도우 위장(TCP window spoofing)
1-2. 공격 도구
1. nmap(network mapper)
- 네트워크보안 유틸리티로 대규모 네트워크를 고속으로 스캔하는 툴.
- 어느 호스트가 살아있고, 그들이 어떠한 서비스(포트)를 제공하며,
운영체제(OS 버전)가 무엇이며, filter/firewall의 패킷 타입이 무엇인지 등 네트워크의 수많은 특징들을 점검가능.
2. Neptune
- 존재하지 않는 호스트의 IP를 삽입한 많은 수의 SYN 패킷을 전송함으로써 half-open TCP 연결을 시도하여 목표 호스트의 listen queue를 가득 채우게 하는 도구
3. mendax
- 신뢰된 호스트에 대한 DoS 공격, Seq Number 추측, 임의의 명령 수행 등의 일련의 과정을 자동으로 수행할 수 있는 도구.
1-3. 공격방법
1. 위 그림에서 C는 A로 자신의 IP주소를 위장하여 SYN를 보내 접속요청을한다.
요청에 대한 응답으로 A가 C에 대한 ACK와 함께 자시의 SYN을 전송하지만
C가 이에 대해 ACK를 보내지 않으면 A는 자신이 보낸 ACK에 대한 C의 응답을 기다리게 된다.
이 과정을 연속적으로 반복하면
(예를 들어 SunOs의 경우, 약 8개 정도의 SYN패킷을 80초 정도 간격 으로 보낸다.)
A는 외부의 접속요청에 응답할 수 없는 오버플로우 상태가 된다.
2. 이후, C는 B로 정상적인 접속을 시도하여 순서제어번호의 변화를
패킷 모니터링을 이용하여 관측한다.
3. 순서제어번호의 변화를 관찰아여 추측한 순서제어번호를 이용하여 C는 자신의 IP주소를 A로 가장한후 B에 접속요청(SYN)을 보낸다.
(순서제어번호의 변화는, 예를 들어 4.4BSD 에서 OS부팅시 1로 세트되고 0.5초마다 64,000씩 증가한다.
또한 새로운 TCP 접속이 만들어질 때마다 64,000씩 증가한다.)