[네트워크] 스위칭 환경에서의 스니핑_2 (실습)

[ 3) ICMP 리다이렉트 ]

 

> 공격 대상에게 패킷을 보낸 후 다시 라우터 A에 다시 릴레이시켜 스니핑

> 3계층에서 패킷을 주고받기 때문에 랜이 아니더라도 공격이 가능

> 최근에는 OS에서 ICMP 리다이렉트를 기본적으로 차단

---

[ 4) 스위치 재밍 ]

 

> 스위치를 직접 공격

> MAC 테이블을 위한 캐시 공간에 *버퍼 오버플로우 공격을 실시

   ( *버퍼 오버플로우 : 버퍼를 공격하여 시스템을 다운시키거나, 오작동을 유발시키는 공격 )

> 스위치는 Fail Close 기능이 적용되지 않음

   ( *Fail Close; 페일 클로즈 : 시스템이 오작동을 하게 되면 모든 기능을 차단하는 개념 )

> 일부 고가의 스위치는 MAC 테이블의 캐시와 연산 장치가 사용하는 캐시가

   독립적으로 나뉘어 있어 스위치 재밍 공격이 통하지 않음

---

[ 실습 - macof로 스위치 재밍 ]

 

> 실습 환경 :

    - 공격 대상 : Switch

    - 공격자 : Kali Linux (Kali GNU/Linux Rolling)

---

1) macof 사용법 확인

[네트워크] 스니핑 공격 툴_2 - fragrouter, DSniff (실습) 포스팅에서 설치했던 DSniff가 설치되어 있어야 합니다.

macof /?

 

 

2) 스위치 재밍

macof

---

[ 5) SPAN 포트 태핑 ]

 

{ SPAN(Switch Port Analyzer) }

> 각 포트에 전송되는 데이터를 미러링하는 포트에도 똑같이 보내주는 "포트 미러링(Port Mirroring)"을 이용한 것

> 주로 IDS를 설치할 때 많이 사용

> SPAN은 주로 시스코에서 사용하는 용어이며, 다른 벤더에서는 "Port Roving"이라 부르기도 함

 

{ 태핑(Splitter) }

> Hub와 같이 Port를 모니터링하기 위한 장비로, "Splitter"라고 부르기도 한다.

> SPAN은 상당히 많은 문제점을 가져서 효과적인 모니터링을 하는 데 어려움이 있으며,

   이를 해결할 수 있는 방법이 "태핑"