Skip to content

스니핑과 스푸핑

스니핑

네트워크 상에서 자신이 아닌 다른 상대방의 패킷 교환을 엿듣는 행위

TCP/IP 프로토콜을 이용한 통신에서 통신매체를 통과하는 패킷이 암호화되어 있지 않으므로 스니핑하여 메시지 내용을 보는 것이 가능하다.

허브 환경

허브는 들어오는 패킷에 대해 들어온 포트를 제외한 모든 포트에 패킷을 보내는 장비인데 다른 사람의 패킷 또한 여기를 지나가기 때문에 스니핑이 가능하다.

  • 기본적으로 패킷은 필터링을 통해 자신의 것만 볼 수 있음
  • 시스템의 NIC를 promiscuous(무차별 모드)로 동작시키면 다른 패킷도 볼 수 있음

스위치 환경

스위치 재밍

스위치의 MAC 주소 테이블 버퍼를 오버플로우 시켜서 스위치를 허브처럼 동작하게 만드는 기법

  • 스위치는 Fail Open을 따르는 장비이므로 문제가 생기면 허브로 동작
  • Fail Open: Fail Safe 정책, 장애발생시 모든 트래픽 허용(가용성>보안성)
  • Fail Close: Fail Secure 정책, 장애발생시 모든 트래픽 차단(가용성<보안성)
ARP 리다이렉트

공격자가 자신이 라우터인 것처럼 MAC 주소를 위조하여 ARP Reply 패킷을 해당 네트워크에
broadcast 하여 해당 로컬 네트워크의 모든 호스트와 라우터 사이의 트래픽을 스니핑하는 기법

ICMP 리다이렉트

3계층에서 스니핑 시스템을 N/W에 존재하는 또 다른 라우터라고 알려 패킷의 흐름을 바꾸는 공격

ICMP 리다이렉트: N/W에서 하나의 라우터/게이트웨이로 감당이 되지 않는 경우 2개 이상으로 운영(로드밸런싱)

스위치의 SPAN / port Mirroring

스위치 특정 포트에 분석 장비를 접속하여 다른 포트의 트래픽을 분석하는 기술

  • 본래는 관리 목적으로 사용
  • 공격자가 물리적 접근시 손쉽게 패킷 스니핑 가능

보안 대책

수동적인 대응 방법

스니핑되더라도 해당 내용이 노출되지 않도록 통신내용을 암호화하는 방법

능동적인 대응 방법(스니퍼 탐지)
  • ping을 이용한 방법
  • 네트워크에 존재하지 않는 MAC 주소로 위장하여 ping을 보냄
  • 만약 스니퍼가 존재하면 ICMP Echo Reply를 송신하는데 이를 통해 탐지
  • 스니퍼가 아니면 ICMP Echo Request를 볼 수 없음
  • ARP watch
  • 초기의 MAC 주소와 IP 주소의 매칭 값을 저장
  • ARP 트래픽을 모니터링하여 이를 변경하는 패킷이 있으면 관리자에게 알려주는 툴

스니퍼는 패킷 또는 LAN 세그먼트 상을 지나는 트래픽을 분석할 수 있는 S/W나 H/W로 유입 패킷에 대한 IP 주소와 MAC 주소 필터링을 하지 않는 promiscuous 모드에서 작동한다.

스푸핑

IP 주소, MAC 주소 등을 속여 정보를 가로채거나 속이는 기법

ARP 스푸핑

공격자는 공격 대상 A, B에게 상대 IP에 해당하는 MAC 주소를 자신의 MAC 주소라고 속여 ARP 패킷을 보내 A,B간에 통신할 때 공격자를 거치도록 하는 공격

  • ARP Cache는 자주 폐기되므로 공격자는 캐시를 갱신해주어야 한다. (ARP Cache Poisoning)
보안 대책
  • ARP -s 명령어를 통해 정적으로 ARP 테이블을 설정

IP 스푸핑

공격자가 자신의 IP 주소가 아닌 신뢰관계를 가진 시스템의 주소로 위장하여 공격대상 서버로부터 정보를 가로채는 공격

공격 절차
  • 클라이언트에게 DoS 공격
  • 공격자는 클라이언트로 위장하여 서버에 접속
보안 대책
  • 출발지 IP주소에 내부망 IP주소를 가지고 있는 패킷을 차단
  • 트러스트 차단
  • 트러스트된 시스템의 MAC주소를 static 지정
  • rlogin 대신 ssh를 사용

Last update : 4 juin 2023
Created : 1 juin 2020