[논문]위조 ARP 응답 유니캐스트 스푸핑을 이용한 서버 유형별 네트워크 해킹 및 구현기술 연구

최재원

doi:10.6109/jkiice.2017.21.1.61

[국내논문] 위조 ARP 응답 유니캐스트 스푸핑을 이용한 서버 유형별 네트워크 해킹 및 구현기술 연구
Network Hacking and Implementation Techniques using Faked ARP Reply Unicast Spoofing according to various Server Types 원문보기

한국정보통신학회논문지 = Journal of the Korea Institute of Information and Communication Engineering, v.21 no.1, 2017년, pp.61 - 71

최재원 (Department of Computer Engineering, Kyungsung University)

초록
AI-Helper

ARP 스푸핑은 2계층 MAC 주소를 속여 통신의 흐름을 왜곡시키는 스니핑의 근간이 되는 핵심 해킹 기술이다. 본 논문에서는 스위치 네트워크 환경의 원격지 서버들의 스니핑을 위한 효율적인 공격방법 '위조 ARP 응답 유니캐스트 스푸핑'을 제안하였다. 위조 ARP 응답 유니캐스트 스푸핑은 클라이언트와 서버 간의 송수신 패킷을 모두 스니핑할 수 있고, 스니핑 절차가 간결하여 해킹 프로그램을 단순화할 수 있다. 본 논문에서는 제안한 ARP 스푸핑 공격을 구현하여 다양한 서버 유형별 네트워크 해킹방법에 관해 연구하였고, 이의 구현기술에 관해 연구하였다. Telnet/FTP 서버의 Root ID와 PW, MySQL DB 서버의 Root ID와 PW, 웹 서버 포탈의 ID와 PW, 웹 뱅킹서버의 계좌번호와 비밀번호 및 거래정보 해킹 등 다양한 서버 유형별 해킹 기술에 관해 연구하였고, 핵심 해킹 프로그램들을 분석하여 이의 구현기술에 관해 연구하였다.

Abstract ▼ AI-Helper

ARP Spoofing is a basic and core hacking technology for almost all sniffing. It makes change the flow of packets by faking the 2nd layer MAC address. In this paper we suggested an efficient hacking technology for sniffing remote servers in the switched network environment. The suggested 'Faked ARP Reply Unicast Spoofing' makes the bidirectional packets sniffing possible between the client and server, and it makes simplify the procedures for ARP sniffing and hacking program. In this paper we researched the network hacking and implementation technologies based on the suggested ARP spoofing. And we researched various types of servers hacking such as Root ID and PW of Telnet/FTP server, Root ID and PW of MySQL DB server, ID and PW of Web Portal Server, and account information and transaction history of Web Banking Server. And also we researched the implementation techniques of core hacking programs for the ARP Spoofing.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

ARP 스푸핑 해킹 기술을 이용하여 1) Telnet/ FTP 서버의 Root ID와 PW 해킹 2) MySQL DB 서버의 Root ID와 PW 해킹 3) 웹서버 포탈의 ID와 PW 해킹 3) 웹 뱅킹서버의 계좌번호와 비밀번호 및 거래정보 해킹 등 다양한 서버 유형별 해킹 기술에 관해 연구하였다.
본 연구를 위해 모의해킹을 위한 웹 서버, DNS 서버, Telnet/FTP 서버, DB 서버, 웹 뱅킹서버 등을 윈도우/리눅스 플랫폼에 각기 구축하였다. 제안한 ARP 스푸핑 공격을 수행하여 1) 웹 서버 포탈의 ID와 PW 해킹 2) 웹 뱅킹서버의 계좌번호와 비밀번호 및 거래정보 해킹 3) Telnet/FTP 서버의 Root ID와 PW 해킹 4) MySQL DB 서버의 Root ID와 PW 해킹 등 다양한 서버 유형별 해킹 방법과 구현 프로그램 분석을 통한 구현 기술에 관해 연구하였다. 본 논문에서는 먼저 ARP 스푸핑 해킹 기술에 관한 전반적인 소개와 이를 응용한 ARP 스푸핑 해킹에 관한 비교 연구, 제안한 ARP 스푸핑 공격 수행을 위한 해킹 환경의 구축 및 절차, 서버 유형별 해킹 및 결과 분석, 해킹 프로그램의 분석을 통한 구현기술 및 대응방안에 관해 연구하였다.
ARP 스푸핑 공격을 위한 핵심 프로그램 arp_send.c, fragrouter.c의 분석 및 구현에 관해 연구하였다.
웹 서버 포탈의 ID와 PW는 Wireshark을 이용하여 해킹할 수 있으며, 웹 뱅킹서버의 계좌번호와 비밀번호 및 거래정보 역시 Wireshark을 통해 해킹할 수 있음을 확인하였다. 그리고 ARP 스푸핑 공격을 위한 핵심 프로그램들을 분석하여 이의 구현기술에 관해서 연구하였다.
또한 네트워크의 중요 서버들과 게이트웨이는 IP/ MAC 주소매핑을 네트워크 관리시스템(NMS)에 등록 하고, ARP 트래픽을 모니터링 하여 등록된 주소매핑을 변경하는 ARP 트래픽을 탐지하면 관리자에게 메일 통지와 네트워크 관리시스템에서 이에 대한 대응이 이루어지게 한다.
제안한 ARP 스푸핑 공격을 수행하여 1) 웹 서버 포탈의 ID와 PW 해킹 2) 웹 뱅킹서버의 계좌번호와 비밀번호 및 거래정보 해킹 3) Telnet/FTP 서버의 Root ID와 PW 해킹 4) MySQL DB 서버의 Root ID와 PW 해킹 등 다양한 서버 유형별 해킹 방법과 구현 프로그램 분석을 통한 구현 기술에 관해 연구하였다. 본 논문에서는 먼저 ARP 스푸핑 해킹 기술에 관한 전반적인 소개와 이를 응용한 ARP 스푸핑 해킹에 관한 비교 연구, 제안한 ARP 스푸핑 공격 수행을 위한 해킹 환경의 구축 및 절차, 서버 유형별 해킹 및 결과 분석, 해킹 프로그램의 분석을 통한 구현기술 및 대응방안에 관해 연구하였다.
위조 ARP 응답 유니캐스트 스푸핑은 클라이언트와 서버 간의 송수신 패킷을 모두 스니핑 할 수 있고, 이를 변조한 후 재전송하는 공격이 가능하며, 또한 스니핑 절차가 간결하여 해킹 프로그램을 단순화할 수 있다. 본 논문에서는 제안한 ARP 스푸핑 공격을 구현하여 다양한 서버 유형별 네트워크 해킹방법 및 이의 구현기술에 관해 연구하였다.
이에 본 논문에서는 ARP 프로토콜의 특성과 동작을 이용한 여러 형태의 ARP 스푸핑 공격방법을 비교 연구하여, 스위치 LAN 환경의 인터넷 상의 원격지에 위치 한 서버들의 스니핑을 위한 효율적인 공격방법을 제안하고, 이의 해킹 프로그램을 구현하고 해킹 환경을 구축하여 원격지 서버들의 스니핑 공격을 성공하였다. 본 논문에서는 제안한 ARP 스푸핑 공격을 위한 환경구축 및 절차, 구현기술에 관해 연구하였고, Telnet/FTP 서버, DB 서버, 웹 서버, 웹 뱅킹서버 등 각기 다른 유형의 서버들의 해킹 기술에 관해 연구하였다.
ARP 스푸핑 공격은 동일 LAN 상의 호스트들의 스니핑으로 제한되고, 스위치 LAN 환경에서는 스니핑이 쉽지 않다. 이에 본 논문에서는 ARP 스푸핑을 응용 한 공격방법들을 비교 연구하여 스위치 LAN 환경의 원격지 서버들의 스니핑을 위한 효율적인 공격방법을 제안하였다. 위조 ARP 응답 유니캐스트 스푸핑은 클라이언트와 서버 간의 송수신 패킷을 모두 스니핑 할 수 있고, 이를 변조한 후 재전송하는 공격이 가능하며, 또한 스니핑 절차가 간결하여 해킹 프로그램을 단순화할 수 있다.
이에 본 논문에서는 ARP 프로토콜의 특성과 동작을 이용한 여러 형태의 ARP 스푸핑 공격방법을 비교 연구하여, 스위치 LAN 환경의 인터넷 상의 원격지에 위치 한 서버들의 스니핑을 위한 효율적인 공격방법을 제안하고, 이의 해킹 프로그램을 구현하고 해킹 환경을 구축하여 원격지 서버들의 스니핑 공격을 성공하였다. 본 논문에서는 제안한 ARP 스푸핑 공격을 위한 환경구축 및 절차, 구현기술에 관해 연구하였고, Telnet/FTP 서버, DB 서버, 웹 서버, 웹 뱅킹서버 등 각기 다른 유형의 서버들의 해킹 기술에 관해 연구하였다.

제안 방법

ARP 프로토콜의 특성상 ARP 스푸핑 공격은 동일 LAN 상의 클라이언트-서버 간 통신 스니핑으로 제한되고, 브로드캐스팅 트래픽이 제한되는 스위치 LAN 환경에서는 스니핑이 쉽지 않으므로, 여러 형태의 ARP 스푸핑 공격방법을 비교 연구하여 스위치 LAN 환경의 원격지 서버들의 스니핑을 위한 효율적인 공격방법을 제안한다.
ARP 스푸핑 해킹은 대부분의 스니핑에 근간이 되는 핵심 해킹 기술이다. 먼저 ARP 스푸핑에 대해 소개하고, 스위치 LAN 환경의 원격지 서버들의 스니핑을 위한 효율적 공격을 위해 ARP 스푸핑을 응용한 여러 공격방법을 비교 연구하였다.
모의해킹을 위해 웹 서버, DNS 서버, Telnet/FTP 서버, DB 서버 등을 윈도우/리눅스 플랫폼에 각기 구축하였고, 그림 8과 같이 웹 뱅킹서버를 구축하여 공격자가 스니핑뿐만 아니라 패킷 변조 등의 다양한 공격도 시도 할 수 있도록 하였다. 표 1의 해킹 환경 및 툴을 사용하였고, 해킹 네트워크의 IP와 MAC 주소는 표 2와 같다.
본 연구를 위해 모의해킹을 위한 웹 서버, DNS 서버, Telnet/FTP 서버, DB 서버, 웹 뱅킹서버 등을 윈도우/리눅스 플랫폼에 각기 구축하였다. 제안한 ARP 스푸핑 공격을 수행하여 1) 웹 서버 포탈의 ID와 PW 해킹 2) 웹 뱅킹서버의 계좌번호와 비밀번호 및 거래정보 해킹 3) Telnet/FTP 서버의 Root ID와 PW 해킹 4) MySQL DB 서버의 Root ID와 PW 해킹 등 다양한 서버 유형별 해킹 방법과 구현 프로그램 분석을 통한 구현 기술에 관해 연구하였다.
본 연구를 위해 웹 서버, DNS 서버, Telnet/FTP 서버, DB 서버, 웹 뱅킹서버 등을 윈도우/리눅스 플랫폼에 구축하고, ARP 스푸핑 공격을 하여 공격자는 공격대상인 클라이언트와 게이트웨이로 서로의 MAC 주소를 자신의 MAC 주소로 속이는 ARP Reply를 전송하여 송수신 트래픽이 공격자를 거치게 하여 스니핑하였다. 그리고 패킷 릴레이를 실행하여 원래의 목적지로 전달되게 하여 정상적인 패킷의 흐름을 유지하였다.
스위치 기반의 LAN에서는 모든 패킷은 그 패킷이 목적하는 장비로만 보내지므로 가장 효율적 ARP 스니핑이 가능한 ‘위조 ARP 응답 유니캐스트 스푸핑’ 방식으로 인터넷 원격 서버들의 스니핑 공격을 하고자 한다.
GW로는 공격대상의 MAC 주소를 공격자의 MAC 주소로 속이는 (공격대상이 GW가 보낸 것처럼) ARP Reply를 반복해서 보낸다. 이를 위해 공격자가 게이트웨이와 공격대상 목적지로 한 이더넷 프레임을 각각 구성하고, 이의 데이터 영역에 ARP Reply 메세지를 실어 전송한다. 이때 libnet_write_link_ layer() 함수는 Raw 소켓을 이용하여 ARP Reply 메세지가 실린 이더넷 프레임을 전송한다.
GW: Default Gateway)의 MAC 주소를 위조하여 공격자 자신이 라우터라고 속여 클라이언트와 외부망의 서버로 송수신되는 모든 패킷이 공격자를 거치도록 만든다. 이를 위해 그림 7과 같이 공격자는 클라이언트와 게이트웨이로 위조 ARP 응답을 유니케스트 (Unicast) 직접 전송하여 ARP 캐시를 오염시켜 클라이언트와 게이트웨이 간의 송수신 트래픽이 공격자를 거치도록 ARP 스푸핑 공격을 한다. 이때 공격자는 캐시의 내용이 사라지기 전에 위조한 ARP Reply를 계속해서 보내어 각 호스트들의 ARP 캐시의 변조된 MAC 주소 정보가 계속해서 유지되도록 한다.
제안한 위조 ARP 응답 유니캐스트 스푸핑 공격을 이용하여 Telnet/FTP 서버, DB 서버, 웹서버 포털, 모의해킹 웹 뱅킹서버 등 다양한 서버 유형별 해킹 기술에 관해 연구하였다.

성능/효과

Telnet/FTP 서버의 Root ID와 PW는 Dsniff 툴로 해킹이 가능하고, MySQL DB 서버의 Root ID와 PW도 Dsniff 툴로 해킹 가능함을 확인하였다. 웹 서버 포탈의 ID와 PW는 Wireshark을 이용하여 해킹할 수 있으며, 웹 뱅킹서버의 계좌번호와 비밀번호 및 거래정보 역시 Wireshark을 통해 해킹할 수 있음을 확인하였다.
이의 대응을 위한 여러 방법이 있으나 가장 좋은 방법은 데이터를 암호화 하는 것이다[8]. 어플리케이션 레벨의 데이터 암호화도 가능하지만, 클라이언트와 서버에 SSL(Secure Sockets Layer) 보안모듈을 장착하여 소켓의 전송데이터가 자동으로 암호화 되도록 시스템 환경을 구축하는 것이 가장 효과적이다.
Telnet/FTP 서버의 Root ID와 PW는 Dsniff 툴로 해킹이 가능하고, MySQL DB 서버의 Root ID와 PW도 Dsniff 툴로 해킹 가능함을 확인하였다. 웹 서버 포탈의 ID와 PW는 Wireshark을 이용하여 해킹할 수 있으며, 웹 뱅킹서버의 계좌번호와 비밀번호 및 거래정보 역시 Wireshark을 통해 해킹할 수 있음을 확인하였다. 그리고 ARP 스푸핑 공격을 위한 핵심 프로그램들을 분석하여 이의 구현기술에 관해서 연구하였다.
Login 페이지는 사용자 ID와 PW를 POST 방식으로 웹 서버로 전송하는 로그인 페이지로 유추할 수 있다. 이의 패킷을 분석해 보면 http 패킷의 데이터 영역에 공격대상 PC의 사용자가 입력한 ID와 PW를 볼 수 있어 보안로그인을 하지 않을 경우 본 대학의 포털도 ID와 PW 해킹의 위험에 노출되어 있음을 확인할 수 있었다.

후속연구

본 연구는 실질적인 해킹 기술의 습득과 대응방안 연구에 많은 도움이 될 것이며, 향후 구축한 모의해킹 테스트베드를 활용하여 다양한 해킹 기술에 관한 연구를 계속할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	ARP 스푸핑 해킹을 대응하는 가장 좋은 방법은 무엇인가?	ARP 스푸핑 해킹은 대부분의 스니핑에 근간되는 핵심 해킹 기술이다. 이의 대응을 위한 여러 방법이 있으나 가장 좋은 방법은 데이터를 암호화 하는 것이다[8]. 어플리케이션 레벨의 데이터 암호화도 가능하지만, 클라이언트와 서버에 SSL(Secure Sockets Layer) 보안모듈을 장착하여 소켓의 전송데이터가 자동으로 암호화 되도록 시스템 환경을 구축하는 것이 가장 효과적이다.
	스푸핑이란 무엇인가?	해킹의 종류에는 여러 가지가 있지만 가장 대표적인 것이 스니핑(sniffing)과 스푸핑(spoofing)이다. 스니핑은 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷을 훔쳐보는 것을 말하며, 스푸핑은 스니핑에서 좀 더 발전된 해킹으로 spoof인 ‘속이다’의 의미에서도 알 수 있듯이 네트워크 상에서 거짓된 패킷을 발송하여 조작하는 것이라고 할 수 있다. ARP 스니핑과 스푸핑은 동일 LAN 상의 호스트들의 2계층 MAC 주소를 속여 패킷의 흐름을 공격자로 향하도록 하여 도청하는 해킹 기술이며, 대부분의 스니핑이 이를 기초로 이루어지므로 가장 근간이 되는 해킹 공격이라 할 수 있다[2].
	ARP 스푸핑의 역할은 무엇인가?	ARP 스푸핑은 ARP 프로토콜의 허점을 이용하여 로컬 LAN 상의 호스트의 2계층 MAC 주소를 공격자의 MAC 주소로 속여 통신 흐름을 왜곡시키고, 클라이언트와 서버의 통신을 스니핑하기 위한 준비 단계로 사용된다.

참고문헌 (8)

Asia e-News. Security frontline, 3100 million threats per day, and time of strife, war without gunfire [Internet]. Available: http://view.asiae.co.kr/news/view.htm?idxno2016043017134438097.
D. I. Yang, Introduction to Information Security and practice-network hacking and security, Seoul, Korea: Hanbit Media Inc., ch. 8, pp. 260-263, 2013.
KISA. ARP Spoofing Attacks and Countermeasures Analysis Report [Internet]. Available: http://skyand96.com/128.
J. H. Kang etc., "ARP Modification for Prevention of IP Spoofing," Journal of Korea Institute of Information and Communication Engineering, vol. 12, no. 3, pp. 154-160, Sep. 2014.
B. K. Ko etc., "A Design of Network Management System for Efficiently Isolating Devices Infected with ARP Spoofing Virus," Journal of Korea Institute of Information and Communication Engineering, vol. 17, no. 3, pp. 641-648, Mar. 2013.

원문보기 상세보기
C. Sanders, Packet analysis practice using the Wireshark, Gyeonggi-do, Korea: ACORN Pub., 2012.
Naver Blog. Introduction to the sniffing tools Dsniff [Internet]. Available: http://kkn1220.tistory.com/72.
H. S. Kang etc., "Defense Technique against Spoofing Attacks using Automated Management of ARP Table for Virtual Machine in Cloud Computing Environment," KIISE 2015 Winter Conference Proceeding, pp. 857-859, 2015.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증