데이터통신&네트워크 (스니핑 공격)

---

참고자료

 

https://jung-story.tistory.com/39

데이터통신 & 네트워크 ( 서비스 거부(DOS) 공격)

 

---

개요

 

저번에는 Dos 공격에 대해서 알아보았습니다.

그러면 이번에는 스니핑 공격에 대해서 알아보도록 하겠습니다.

 

---

스니핑 공격

 

수동적(Passive) 공격이라고도 합니다.

 

스니핑 공격의 종류!

 

1. 드라마에서 주인공이 문 앞에서 다른 이의 대화를 엿듣는 것
2. 도청(Eavesdropping)
3. 전화선이나 UTP(Unshielded Twisted Pair)에 태핑(Tapping)을 해서 전기적 신호를 분석해 정보를 찾아내는 것
4. 전기적 신호를 템페스트(Tempest) 장비를 이용해 분석하는 것

 

---

스니핑 원리

 

• 네트워크에 접속하는 모든 시스템은 설정된 IP 주소값과 고유한 MAC 주소 값을 가지고 있습니다.
• 통신을 할때 네트워크 카드는 이 두 가지 정보(2 계층의 MAC 정보와 3 계층의 IP)를 가지고 자신의 랜 카드에 들어오는 프로토콜 형식에 따른 전기적 신호의 헤더 부분, 즉 주소 값을 인식하고 자신의 버퍼에 저장할지를 결정합니다.
• 네트워크 카드에 인식된 2계층과 3 계층 정보가 자신의 것과 일치하지 않는 패킷은 무시합니다.

 

정상적인 네트워크 필터링

 

스니핑을 수행하는 공격자는 자신이 가지지 말아야 할 정보까지 모두 볼 수 있어야 하기 때문에 2 계층과 3 계층 
정보를 이용한 필터링은 방해물입니다. 
이럴 때 2, 3계층에서의 필터링을 해제하는 랜 카드의 모드를 프러미스 큐 어스(Promicuous) 모드라고 합니다.

 

네트워크 필터링 해제 상태(프러머스큐어스 모드)

 

---

스위치 재밍 공격

스위치의 주소 테이블의 기능을 마비시키는 공격. MACOF 공격이라고도 합니다.
스위치에 랜덤한 형태로 생성한 MAC을 가진 패킷을 무한대로 보내면, 스위치의 MAC 테이블은 자연스레 저장 
용량을 넘게 되고, 스위치의 원래 기능을 잃고 더미 허브처럼 작동하게 됩니다. 

 

---

SPAN(Switch Port ANalyzer) 포트 태핑 공격

SPAN은 포트 미러링(Port Mirroring)을 이용한 것입니다. 
포트 미러링이란 각 포트에 전송되는 데이터를 미러링 하고 있는 포트에도 똑같이 보내주는 것입니다. 
SPAN 포트는 기본적으로 네트워크 장비에서의 하나의 설정 사항으로 이뤄지지만, 포트 태핑(Tapping)은 하드
웨어적인 장비로 제공되고 이를 스플리터(Splitter)라고 부르기도 합니다.

 

---

스니퍼의 탐지

 

Ping을 이용한 스니퍼 탐지
대부분의 스니퍼는 일반 TCP/IP에서 동작하기 때문에 Request를 받으면 Response를 전달. 이를 이용해 의심
이 가는 호스트에 ping을 보내면 되는데, 네트워크에 존재하지 않는 MAC 주소를 위장하여 보냅니다. 
만약 ICMP Echo Reply를 받으면 해당 호스트가 스니핑을 하고 있는 것입니다.

 

ping을 이용한 스니퍼 탐지

 

 

리눅스에서는 ifconfig를 이용하여 스니핑 공격을 탐지 할 수 있습니다.

 

 

---

스니핑 공격 방비책

 

어떻게 스니핑으로부터 내 호스를 보호할 수 있을까?

 

---

SSH, not Telnet

 

많은 사람들이 여전히 Telnet 을 통해 password를 일반 텍스트로 보내고 있음! 

 

---

HTTP over SSL

 

특히 credit card로 물건 구매할 때는 반드시 이렇게 할 것!

 

---

SFTP, not FTP

 

password 또는 전달 데이터가 공개되도 상관없는 경우가 아니면! 

---

IPSec

 

network-계층에서의 보안기능을 제공합니다.

 

---

이렇게 스니핑 공격에 대해서 알아 보았습니다.

 

---