[정보 보안] 스니핑(Sniffing) 공격

스니핑 공격

> 스니핑 공격은 수동적(Passive) 공격입니다.

> 스니핑 공격을 할 때 2계층과 3계층 정보를 이용한 필터링은 방해가 되기 때문에 필터링을 해제합니다.

이 때 2, 3계층에서의 필터링을 해제하는 랜 카드의 모드를 프러미스큐어스 모드(Promiscuous Mode)라고 합니다.

 

스위치 재밍 공격

> 스위치의 주소 테이블의 기능을 마비시키는 공격입니다. ( = MACOF 공격)

> 스위치에 랜덤한 형태로 생성한 MAC을 가진 패킷을 무한대로 보내면, 스위치의 MAC 테이블은 저장 용량을 넘어 원래의 기능을 잃습니다.

 

SPAN 포트 태핑(Port Tapping) 공격

> SPAN은 포트 미러링(Port Mirroring)을 이용합니다.

> 포트 미러링(Port Mirroring)이란? : 각 포트에 전송되는 데이터를 미러링하는 포트에도 똑같이 전달합니다.

> SPAN 포트는 기본적으로 네트워크 장비에서의 하나의 설정 사항으로 이뤄지지만, 포트 태핑은 하드웨어적인 장비로 제공됩니다. (= 스플리터(Splitter))

 

스니퍼의 탐지

> [ Ping 이용 ]

대부분의 스니퍼는 일반 TCP/IP에서 동작하기 때문에 Request를 받으면 Response를 전달합니다.

의심이 가는 호스트에 MAC주소가 위조된 Ping을 보내 ICMP Echo Reply가 돌아오는지 확인합니다.

ICMP Echo Reply가 돌아온다면 해당 호스트가 스니핑중임을 알 수 있습니다.

 

> [ ARP 이용 ] 

Ping을 이용하여 스니퍼를 탐지하는 방법과 유사한 방법으로, 위조된 ARP Request를 전달합니다.

Response가 돌아오면 프러미스큐어스 모드로 설정되어 있음을 확인할 수 있습니다.

 

> [ DNS 이용 ]

일반적으로 스니핑 프로그램은 사용자의 편의를 위해 스니핑한 시스템의 IP 주소에 DNS에 대한 이름 해석 과정(Inverse-DNS Lookup)을 수행합니다. 따라서, 테스트 대상 네트워크로 Ping Sweep을 보내고 들어오는 Inverse-DNS Lookup을 감시하여 스니퍼를 탐지합니다.

 

> [ 유인(Decoy) 이용 ]

스니핑 공격을 하는 공격자의 주요 목적은 ID와 Password의 획득에 있기 때문에 가짜 ID와 Password를 네트워크에 계속 뿌려 이 가짜 정보를 이용하여 접속을 시도할 때 스니퍼를 탐지합니다.

 

> [ ARP Watch 이용 ]

ARP Watch는 MAC 주소와 IP 주소의 매칭 값을 초기에 저장하고 ARP 트래픽을 모니터링하여, 이를 변하게 하는 패킷이 탐지되면 관리자에게 메일로 알려주는 툴입니다.

대부분의 공격 기법이 위조된 ARP를 사용하기 때문에 쉽게 탐지가 가능합니다.