What is IP spoofing?

위조된 소스 주소가 있는 스푸핑된 IP 패킷은 탐지를 피하기 위한 목적으로 공격에 사용되는 일이 많습니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • IP 스푸핑 정의
  • IP 스푸핑이 DDoS 공격에 사용되는 방법 설명
  • IP 스푸핑을 방어하는 방법 설명

글 링크 복사

IP 스푸핑이란?

IP 스푸핑은 송신자의 ID를 숨기거나, 다른 컴퓨터 시스템으로 가장하거나, 이 두 가지 모두를 수행하기 위해, 소스 주소가 수정된 IP(인터넷 프로토콜) 패킷을 생성하는 것입니다. 표적 기기나 주변 인프라에 대해 DDoS 공격을 자행하기 위해 부정 행위자들이 자주 사용하는 기법입니다.

IP 패킷 송수신은 네트워크로 연결된 컴퓨터와 다른 장치들이 통신하는 주요 방법이며, 현대 인터넷의 기초를 구성합니다. 모든 IP 패킷에는 패킷 본문 앞에 있는 헤더가 포함되어 있으며 소스 주소를 포함한 중요한 라우팅 정보가 포함되어 있습니다. 정상적인 패킷에서 소스 IP 주소는 패킷의 발신자 주소입니다. 패킷이 스푸핑되면 이 소스 주소가 위조됩니다.

IP 스푸핑 DDoS 공격

IP 스푸핑은 공격자가 목록에 있는 잘못된 반환 주소를 가지고 있는 누군가에게 패키지를 보내는 것과 유사합니다. 패키지를 받은 사람이 보낸 사람의 패키지 발송 행위를 중단시키려는 경우 반환 주소가 쉽게 변경되므로, 가짜 주소의 모든 패키지를 차단하는 것은 별로 도움이 되지 않습니다. 이와 관련하여, 수신자가 반환 주소에 응답하고자 하는 경우, 응답 패키지는 실제 발신자가 아닌 다른 곳으로 갑니다. 패킷 주소를 스푸핑하는 기능은 많은 DDoS 공격에서 악용되는 핵심 취약성입니다.

DDoS 공격은 트래픽으로 표적을 압도하는 동시에 악의적인 소스의 신원을 가려 완화 활동을 막으려는 목표를 갖고, 스푸핑을 활용하는 경우가 많습니다. 소스 IP 주소가 위조되어 지속적으로 무작위 추출되면, 악의적인 요청을 차단하는 것이 어려워집니다. 또한, IP 스푸핑은 사법 당국과 사이버 보안 팀이 공격의 가해자를 찾아내는 것을 어렵게 만듭니다.

Spoofing is also used to masquerade as another device so that responses are sent to that targeted device instead. Volumetric attacks such as NTP Amplification and DNS amplification make use of this vulnerability. The ability to modify the source IP is inherent to the design of TCP/IP, making it an ongoing security concern.

또한, DDoS 공격과 거의 관계가 없는 스푸핑은 인증을 회피하고 사용자 세션에 액세스할 수 있는 권한을 확보하거나 사용자 세션을 “장악”하기 위해 다른 장치로 가장할 목적을 가지고 수행될 수 있습니다.

IP 스푸핑(패킷 필터링)을 방어하는 방법

While IP spoofing can’t be prevented, measures can be taken to stop spoofed packets from infiltrating a network. A very common defense against spoofing is ingress filtering, outlined in BCP38 (a Best Common Practice document). Ingress filtering is a form of packet filtering usually implemented on a network edge device which examines incoming IP packets and looks at their source headers. If the source headers on those packets don’t match their origin or they otherwise look fishy, the packets are rejected. Some networks will also implement egress filtering, which looks at IP packets exiting the network, ensuring that those packets have legitimate source headers to prevent someone within the network from launching an outbound malicious attack using IP spoofing.