스니핑과 스푸핑
스니핑¶
네트워크 상에서 자신이 아닌 다른 상대방의 패킷 교환을 엿듣는 행위
TCP/IP 프로토콜을 이용한 통신에서 통신매체를 통과하는 패킷이 암호화되어 있지 않으므로 스니핑하여 메시지 내용을 보는 것이 가능하다.
허브 환경¶
허브는 들어오는 패킷에 대해 들어온 포트를 제외한 모든 포트에 패킷을 보내는 장비인데 다른 사람의 패킷 또한 여기를 지나가기 때문에 스니핑이 가능하다.
- 기본적으로 패킷은 필터링을 통해 자신의 것만 볼 수 있음
- 시스템의 NIC를
promiscuous(무차별 모드)로 동작시키면 다른 패킷도 볼 수 있음
스위치 환경¶
스위치 재밍¶
스위치의 MAC 주소 테이블 버퍼를 오버플로우 시켜서 스위치를 허브처럼 동작하게 만드는 기법
- 스위치는 Fail Open을 따르는 장비이므로 문제가 생기면 허브로 동작
- Fail Open: Fail Safe 정책, 장애발생시 모든 트래픽 허용(가용성>보안성)
- Fail Close: Fail Secure 정책, 장애발생시 모든 트래픽 차단(가용성<보안성)
ARP 리다이렉트¶
공격자가 자신이 라우터인 것처럼 MAC 주소를 위조하여 ARP Reply 패킷을 해당 네트워크에
broadcast 하여 해당 로컬 네트워크의 모든 호스트와 라우터 사이의 트래픽을 스니핑하는 기법
ICMP 리다이렉트¶
3계층에서 스니핑 시스템을 N/W에 존재하는 또 다른 라우터라고 알려 패킷의 흐름을 바꾸는 공격
ICMP 리다이렉트: N/W에서 하나의 라우터/게이트웨이로 감당이 되지 않는 경우 2개 이상으로 운영(로드밸런싱)
스위치의 SPAN / port Mirroring¶
스위치 특정 포트에 분석 장비를 접속하여 다른 포트의 트래픽을 분석하는 기술
- 본래는 관리 목적으로 사용
- 공격자가 물리적 접근시 손쉽게 패킷 스니핑 가능
보안 대책¶
수동적인 대응 방법¶
스니핑되더라도 해당 내용이 노출되지 않도록 통신내용을 암호화하는 방법
능동적인 대응 방법(스니퍼 탐지)¶
- ping을 이용한 방법
- 네트워크에 존재하지 않는 MAC 주소로 위장하여 ping을 보냄
- 만약 스니퍼가 존재하면
ICMP Echo Reply를 송신하는데 이를 통해 탐지 - 스니퍼가 아니면
ICMP Echo Request를 볼 수 없음 - ARP watch
- 초기의 MAC 주소와 IP 주소의 매칭 값을 저장
- ARP 트래픽을 모니터링하여 이를 변경하는 패킷이 있으면 관리자에게 알려주는 툴
스니퍼는 패킷 또는 LAN 세그먼트 상을 지나는 트래픽을 분석할 수 있는 S/W나 H/W로 유입 패킷에 대한 IP 주소와 MAC 주소 필터링을 하지 않는
promiscuous 모드에서 작동한다.
스푸핑¶
IP 주소, MAC 주소 등을 속여 정보를 가로채거나 속이는 기법
ARP 스푸핑¶
공격자는 공격 대상 A, B에게 상대 IP에 해당하는 MAC 주소를 자신의 MAC 주소라고 속여 ARP 패킷을 보내 A,B간에 통신할 때 공격자를 거치도록 하는 공격
- ARP Cache는 자주 폐기되므로 공격자는 캐시를 갱신해주어야 한다. (ARP Cache Poisoning)
보안 대책¶
ARP -s명령어를 통해 정적으로 ARP 테이블을 설정
IP 스푸핑¶
공격자가 자신의 IP 주소가 아닌 신뢰관계를 가진 시스템의 주소로 위장하여 공격대상 서버로부터 정보를 가로채는 공격
공격 절차¶
- 클라이언트에게 DoS 공격
- 공격자는 클라이언트로 위장하여 서버에 접속
보안 대책¶
- 출발지 IP주소에 내부망 IP주소를 가지고 있는 패킷을 차단
- 트러스트 차단
- 트러스트된 시스템의 MAC주소를 static 지정
- rlogin 대신 ssh를 사용
Created : 1 juin 2020