제목 : Spoofer Project (IP 스푸핑 가능 여부 확인 프로젝트)
작성자 : 김재연, 편집자 : 엔시스
MIT에서 진행하는 Spoofer Project라는 프로젝트를 소개해 드리고자 합니다.
홈페이지: http://spoofer.csail.mit.edu
서버가 네트워크 공격을 받게 되는 경우, 서버에 남겨진 로그를 최대한 활용하여 공격자들을 추적하게 되는데 IP 스푸핑이라는 문제로 인하여 실제 공격자를 찾기가 힘든 경우가 많습니다.
전자우편이나 핸드폰 문자 메시지의 경우도 발신자 주소를 쉽게 바꾸어서 보낼수가 있는데 IP 주소도 이와 마찬가지로 XXX.XXX.XXX.XXX 주소를 가진 해커가 YYY.YYY.YYY.YYY 라는 주소로 발신 IP 주소를 바꾸어 공격 대상에 접속할 수 있으니까요.
Botnet의 등장으로 인해 IP 스푸핑을 이용하지 않고도 수많은 좀비 컴퓨터들의 실제 IP 주소로 공격이 가능해져서 IP 스푸핑의 매력이 점차 떨어지고는 있지만 여전히 IP 스푸핑의 문제는 산재해 있는 실정입니다.
그리고, IP 스푸핑은 기본적으로 IP 패킷 구조상의 문제이기 때문에 그동안 많은 연구가 있었지만 구현이 복잡하고 네트워크 성능저하가 불가피한 해결책들만 무성할뿐 뚜렷한 성과가 없었던 것 같습니다.
아래 연구중 그나마 라우터 레벨에서 호스트의 출발지 주소 변조를 막는 Ingress Filtering이 가장 단순하며 강력한 해결책이지만 모든 라우터에 적용시키는데 어려움이 있습니다. MIT 연구내용을 보니 각국 정부에서 법률을 제정하는 등의 강력한 노력을 통해 필터링 적용을 의무화해야 된다고 주장하고 있네요.
어쨌거나, MIT에서는 몇년간 자신의 네트워크에서 스푸핑이 가능한지 여부를 체크해주는 프로그램을 배포하여 전세계적으로 얼마만큼의 IP와 AS가 IP 스푸핑에 취약한지 여부를 조사해 오고 있습니다.
http://spoofer.csail.mit.edu/summary.php 에서 결과가 확인이 가능한데 현재 17% 정도의 IP와 24% 정도의 AS가 스푸핑이 가능하다고 하네요. 실제로 많은 라우터에서 Ingress Filtering이 적용되어 있다는 증거이죠.
IP 스푸핑 가능여부 확인 프로그램은 윈도우, 맥, 리눅스용으로 배포가 되어 있으니 관심이 있으신 분들은 다운로드 하셔서 실행시켜 보시기 바랍니다. 프로그램을 실행시키시면 IP 주소를 변조해서 MIT에서 전세계적으로 이미 설치해둔 서버로 IP 스푸핑 시도를 하게 됩니다. 테스트 완료후 결과 페이지 웹페이지를 통해 성공/실패 여부를 바로 확인 하실 수 있습니다.
한국은 ISP 라우터에 IP 스푸핑 방지를 위한 필터링이 기본적으로 다 적용되어 있을 것 같은데 테스트 해 보신 후 혹시라도 IP 스푸핑이 가능하다고 나오는 곳이 있다면 댓글 남겨 주십시오.
****************************************************************************************************작성자 : 김재연, 편집자 : 엔시스
MIT에서 진행하는 Spoofer Project라는 프로젝트를 소개해 드리고자 합니다.
홈페이지: http://spoofer.csail.mit.edu
서버가 네트워크 공격을 받게 되는 경우, 서버에 남겨진 로그를 최대한 활용하여 공격자들을 추적하게 되는데 IP 스푸핑이라는 문제로 인하여 실제 공격자를 찾기가 힘든 경우가 많습니다.
전자우편이나 핸드폰 문자 메시지의 경우도 발신자 주소를 쉽게 바꾸어서 보낼수가 있는데 IP 주소도 이와 마찬가지로 XXX.XXX.XXX.XXX 주소를 가진 해커가 YYY.YYY.YYY.YYY 라는 주소로 발신 IP 주소를 바꾸어 공격 대상에 접속할 수 있으니까요.
Botnet의 등장으로 인해 IP 스푸핑을 이용하지 않고도 수많은 좀비 컴퓨터들의 실제 IP 주소로 공격이 가능해져서 IP 스푸핑의 매력이 점차 떨어지고는 있지만 여전히 IP 스푸핑의 문제는 산재해 있는 실정입니다.
그리고, IP 스푸핑은 기본적으로 IP 패킷 구조상의 문제이기 때문에 그동안 많은 연구가 있었지만 구현이 복잡하고 네트워크 성능저하가 불가피한 해결책들만 무성할뿐 뚜렷한 성과가 없었던 것 같습니다.
아래 연구중 그나마 라우터 레벨에서 호스트의 출발지 주소 변조를 막는 Ingress Filtering이 가장 단순하며 강력한 해결책이지만 모든 라우터에 적용시키는데 어려움이 있습니다. MIT 연구내용을 보니 각국 정부에서 법률을 제정하는 등의 강력한 노력을 통해 필터링 적용을 의무화해야 된다고 주장하고 있네요.
- Practical network support for IP traceback, 2000
- Network Ingress Filtering, 2001
- ICMP Traceback messages, 2001
- Advanced and Authenticated marking Schemes for IP Traceback, 2001
- On the effectiveness of propabilistic packet marking for IP traceback under DoS attack, 2001
- Controlling high bandwidth aggregates in the network (PUSHBACK), 2002
- An algebraic approach to IP traceback, 2002
어쨌거나, MIT에서는 몇년간 자신의 네트워크에서 스푸핑이 가능한지 여부를 체크해주는 프로그램을 배포하여 전세계적으로 얼마만큼의 IP와 AS가 IP 스푸핑에 취약한지 여부를 조사해 오고 있습니다.
http://spoofer.csail.mit.edu/summary.php 에서 결과가 확인이 가능한데 현재 17% 정도의 IP와 24% 정도의 AS가 스푸핑이 가능하다고 하네요. 실제로 많은 라우터에서 Ingress Filtering이 적용되어 있다는 증거이죠.
IP 스푸핑 가능여부 확인 프로그램은 윈도우, 맥, 리눅스용으로 배포가 되어 있으니 관심이 있으신 분들은 다운로드 하셔서 실행시켜 보시기 바랍니다. 프로그램을 실행시키시면 IP 주소를 변조해서 MIT에서 전세계적으로 이미 설치해둔 서버로 IP 스푸핑 시도를 하게 됩니다. 테스트 완료후 결과 페이지 웹페이지를 통해 성공/실패 여부를 바로 확인 하실 수 있습니다.
한국은 ISP 라우터에 IP 스푸핑 방지를 위한 필터링이 기본적으로 다 적용되어 있을 것 같은데 테스트 해 보신 후 혹시라도 IP 스푸핑이 가능하다고 나오는 곳이 있다면 댓글 남겨 주십시오.
본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..
****************************************************************************************************
