IP 스푸핑이란?

위조된 소스 주소가 있는 스푸핑된 IP 패킷은 탐지를 피하기 위한 목적으로 공격에 사용되는 일이 많습니다.

Share facebook icon linkedin icon twitter icon email icon

IP 스푸핑

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • IP 스푸핑 정의
  • IP 스푸핑이 DDoS 공격에 사용되는 방법 설명
  • IP 스푸핑을 방어하는 방법 설명

IP 스푸핑이란?

IP 스푸핑은 송신자의 ID를 숨기거나 다른 컴퓨터 시스템을 가장하기 위해, 또는 이 두가지 모두를 수행하기 위해 수정된 소스 주소를 가진 인터넷 프로토콜(IP) 패킷을 생성하는 것입니다. 표적 기기나 주변 인프라에 대한 DDoS 공격을 적용하기 위해 부정 행위자들이 자주 사용하는 기법입니다.


IP 패킷 송수신은 네트워크로 연결된 컴퓨터와 다른 장치들이 통신하는 주요 방법이며, 현대 인터넷의 기초를 구성합니다. 모든 IP 패킷에는 패킷 본문 앞에 있는 헤더가 포함되어 있으며 소스 주소를 포함한 중요한 라우팅 정보가 포함되어 있습니다. 정상적인 패킷에서 소스 IP 주소는 패킷의 발신자 주소입니다. 패킷이 스푸핑되면 이 소스 주소가 위조됩니다.

IP 스푸핑 DDoS 공격

IP 스푸핑은 공격자가 목록에 있는 잘못된 반환 주소를 가지고 있는 누군가에게 패키지를 보내는 것과 유사합니다. 패키지를 받은 사람이 보낸 사람의 패키지 발송 행위를 중단시키려는 경우 반환 주소가 쉽게 변경되므로 가짜 주소의 모든 패키지를 차단하는 것은 별로 도움이 되지 않습니다. 이와 관련하여, 수신자가 반환 주소에 응답하고자 하는 경우 응답 패키지는 실제 발신자가 아닌 다른 곳으로 갑니다. 패킷 주소를 스푸핑하는 기능은 많은 DDoS 공격에서 악용되는 핵심 취약성입니다.


DDoS 공격은 트래픽으로 표적을 압도하는 동시에 악의적인 소스의 신원을 가려 완화 활동을 막으려는 목표를 가지고 스푸핑을 활용하는 경우가 많습니다. 소스 IP 주소가 위조되어 지속적으로 무작위 추출되면 악의적인 요청을 차단하는 것이 어려워집니다. 또한, IP 스푸핑은 사법 당국과 사이버 보안 팀이 공격의 가해자를 찾아내는 것을 어렵게 만듭니다.


뿐만 아니라 스푸핑은 다른 장치로 가장하는 데 사용되어 응답이 표적 장치로 대신 보내지도록 합니다. NTP 증폭DNS 증폭과 같은 볼류메트릭 공격은 이로한 취약성을 이용합니다. 소스 IP를 수정할 수 있는 기능이 TCP/IP 설계에 내재되어 있어 이는 지속적인 보안 문제가 됩니다.

또한, DDoS 공격과 거의 관계가 없는 스푸핑은 인증을 회피하고 사용자 세션에 액세스할 수 있는 권한을 확보하거나 사용자 세션을 “장악”하기 위해 다른 장치로 가장할 목적을 가지고 수행될 수 있습니다.

IP 스푸핑(패킷 필터링)을 방어하는 방법

IP 스푸핑을 막을 수는 없지만 스푸핑된 패킷이 네트워크에 침투하는 것을 막기 위한 조치를 취할 수 있습니다. 스푸핑에 대한 매우 일반적인 방어는 BCP38(Best Common Practice 문서)에 설명된 수신 필터링입니다. 일반적으로 수신 필터링은 유입되는 IP 패킷을 검사하고 소스 헤더를 검토하는 네트워크 에지 장치에 구현되는 패킷 필터링의 한 형태입니다. 이러한 패킷의 소스 헤더가 원본과 일치하지 않거나 수상한 점이 보이면 이 패킷은 거부됩니다. 또한, 일부 네트워크는 네트워크를 나가는 IP 패킷을 검토하는 송신 필터링을 구현하여 해당 패킷에 IP 스푸핑을 사용하여 네트워크 내의 누군가가 악의적인 아웃바운드 공격을 시작하는 것을 방지할 수 있는 합법적인 소스 헤더가 있는지 확인합니다.