<p>**IP 스푸핑(IP Spoofing)**은 공격자가 <b>자신의 IP 주소를 다른 사람(또는 시스템)의 IP로 위조</b>하여 신뢰를 얻거나 패킷을 속이는 해킹 기법입니다. 이 기술은 <b>다양한 네트워크 공격의 기초</b>로 사용됩니다.</p><hr data-ke-style="style1"><p>🧠 1. IP 스푸핑 개념 ✅ 정의</p><blockquote><p><b>IP 헤더의 출발지 주소(Source IP)</b> 를 위조하여 다른 시스템인 것처럼 가장하는 기법</p></blockquote><p>✅ 목적</p><ul style="list-style-type: disc;" data-ke-list-type="disc"><li><p><b>신뢰 관계 위장</b> (예: 방화벽 우회)</p></li><li><p><b>세션 하이재킹</b></p></li><li><p><b>DDoS 공격에서 발신자 은폐</b></p></li><li><p><b>MITM(중간자 공격) 도입</b></p></li><li><p><b>로그 회피</b></p></li></ul><hr data-ke-style="style1"><p>🔨 2. IP 스푸핑 작동 원리</p><ol style="list-style-type: decimal;" data-ke-list-type="decimal"><li><p>패킷 생성 시 IP 헤더에 <b>출발지 IP를 조작</b></p></li><li><p>수신자는 패킷이 실제 그 IP에서 온 것으로 믿고 처리</p></li><li><p>응답 패킷은 조작된 IP로 전송 → 공격자가 직접 응답을 받을 수 없는 구조</p><p>→ <b>TCP 연결 유지가 어려움</b><br>→ <b>UDP, ICMP 기반 공격에 자주 사용됨</b></p></li></ol><hr data-ke-style="style1"><p>⚔️ 3. 공격 유형별 활용 📌 A. 신뢰 기반 접속 우회 (TCP/IP Trust Exploitation)</p><ul style="list-style-type: disc;" data-ke-list-type="disc"><li><p>예: /etc/hosts.equiv 또는 .rhosts 기반 신뢰 설정된 서버</p></li><li><p>공격자가 <b>신뢰된 IP를 위조</b>하여 접속 시도</p></li><li><p><b>TCP Sequence Prediction</b>을 통해 3-way 핸드셰이크 위조 가능</p></li></ul><p>📌 B. DDoS 증폭 공격에서의 IP 스푸핑</p><ul style="list-style-type: disc;" data-ke-list-type="disc"><li><p>DNS, NTP, Memcached 등의 UDP 서비스 이용</p></li><li><p>공격자가 <b>희생자의 IP로 위조한 요청</b>을 대량 발송 → 응답이 피해자에게 집중됨</p></li><li><p>대표적 공격: <b>DNS Amplification</b>, <b>Smurf Attack</b></p></li></ul><p>📌 C. MITM/세션 하이재킹 전 단계로 사용</p><ul style="list-style-type: disc;" data-ke-list-type="disc"><li><p>공격자가 클라이언트로 위장하고, 서버와의 연결을 가로채거나 중간 삽입</p></li><li><p>TCP sequence number를 추측해 세션 탈취 시도</p></li></ul><hr data-ke-style="style1"><p>🧪 4. 실습 예시 (Kali Linux 등에서 사용 가능) ▶ Scapy를 이용한 IP 스푸핑 (Python) from scapy.all import * spoofed_packet = IP(src="192.168.0.10", dst="192.168.0.20") / ICMP() send(spoofed_packet)</p><ul style="list-style-type: disc;" data-ke-list-type="disc"><li><p>src는 위조할 IP</p></li><li><p>이 예제는 ICMP Ping을 조작된 IP로 보냄</p></li></ul><hr data-ke-style="style1"><p>▶ Nmap으로 IP 스푸핑 (Ping Scan 우회) nmap -Pn -S 192.168.0.10 192.168.0.20</p><ul style="list-style-type: disc;" data-ke-list-type="disc"><li><p>-S 옵션으로 Source IP 위조 (로컬 네트워크에서 제한적 동작)</p></li></ul><hr data-ke-style="style1"><p>▶ hping3를 이용한 TCP/IP 스푸핑 hping3 -a 192.168.0.10 -S 192.168.0.20 -p 80</p><ul style="list-style-type: disc;" data-ke-list-type="disc"><li><p>-a: spoof IP</p></li><li><p>-S: SYN 패킷</p></li><li><p>대상에게 스푸핑된 IP로 SYN 패킷 전송</p></li></ul><hr data-ke-style="style1"><p>🚧 한계점</p><ul style="list-style-type: disc;" data-ke-list-type="disc"><li><p><b>TCP/IP 연결에는 한계</b>: 응답을 공격자가 직접 받지 못함</p></li><li><p><b>NAT, 방화벽</b> 환경에서는 효과 제한</p></li><li><p>최신 시스템은 <b>Source Address Filtering</b>으로 차단함</p></li></ul><hr data-ke-style="style1"><p>🔐 방어 방법</p><p>보안 조치 설명</p><div class="table-wrap"><table data-ke-type="table" data-ke-align="alignLeft" style="width: 100%;" border="1"><tbody><tr><td>Ingress Filtering</td><td>출발지 IP가 외부로 합당하지 않으면 차단</td></tr><tr><td>Egress Filtering</td><td>내부에서 나가는 패킷도 IP 정합성 검사</td></tr><tr><td>TCP Sequence 난수화</td><td>TCP hijacking 방지</td></tr><tr><td>IDS/IPS</td><td>비정상 패킷 탐지</td></tr><tr><td>신뢰 기반 인증 제한</td><td>.rhosts, .netrc 등 사용 금지</td></tr></tbody></table></div><hr data-ke-style="style1"><p>✅ 정리</p><p>항목 설명</p><div class="table-wrap"><table data-ke-type="table" data-ke-align="alignLeft" style="width: 100%;" border="1"><tbody><tr><td>공격 대상</td><td>IP 기반 신뢰 시스템, 증폭형 서비스</td></tr><tr><td>사용 프로토콜</td><td>ICMP, UDP (응답 불필요)</td></tr><tr><td>주요 목적</td><td>위장, 세션 하이재킹, DDoS 은폐</td></tr><tr><td>방어 기법</td><td>필터링, 인증 강화, 시퀀스 난수화</td></tr></tbody></table></div><hr data-ke-style="style1"><p>📚 관련 공격 기법</p><ul style="list-style-type: disc;" data-ke-list-type="disc"><li><p><b>ARP 스푸핑</b>: IP 대신 MAC 주소 위조 → 로컬 MITM</p></li><li><p><b>DNS 스푸핑</b>: 도메인 요청 결과를 조작 → 피싱 가능</p></li><li><p><b>TCP 세션 하이재킹</b>: 시퀀스 번호 조작 통한 연결 탈취</p></li></ul><hr data-ke-style="style1"><p>필요하시면 TCP 세션 예제, DDoS 증폭 시뮬레이션, IP 스푸핑 우회 실습 환경 설정도 안내해드릴 수 있습니다. 어떤 부분을 더 보고 싶으신가요?</p>
<!-- -->
