스니핑(Sniffing)

스니핑이란?

네트워크상에서 자신이 아닌 다른 상대방의 패킷 교환을 엿듣는 것을 말한다.(네트워크 트래픽을 도청)

 

① 허브 환경에서 스니핑

- 허브는 기본적으로 들어온 패킷에 대해 패킷이 들어온 포트를 제외한 모든 포트에 패킷을 보내는 장비이다.

- NIC를 promiscuous 모드로 동작하게 한다면 다른 이들의 패킷을 모두 받아볼 수 있다.

 

 

② 스위치 재밍(Switch Jamming)

- 스위치의 MAC Address Table 버퍼를 오버플로우시켜서 스위치가 허브처럼 동작하게 강제적으로 만드는 기법이다.

- 스위치는 Fail Open 정책, 즉 실패 시에 모두 허용해주는정책을 따르는 장비이므로 문제가 발생하면 허브처럼 연결된 모든 노드에게 패킷을 전송한다.

- MAC Address Table을 채우기 위해 MAC 주소를 계속 변경하면서 ARP Reply 패킷을 지속적으로 전송하는 방식이다.

 

 

③ ARP 스푸핑

- 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 만들어 희생자에게 지속적으로 전송하면 희생자의 ARP Cache에 특정 호스트의 MAC 정보가 공격자의 MAC 정보로 변경된다. 이를 통해 희생자에게서 특정 호스트로 나가는 패킷을 공격자가 스니핑한다.

 

 

④ ARP 리다이렉트

- 공격자가 자신이 라우터인 것처럼 MAC 주소를 위조하여 ARP Reply 패킷을 해당 네트워크에 broadcast 하여 희생자의 ARP Cache Table을 변조시키고 이를 통해 해당 로컬 네트워크의 모든 호스트와 라우터 사이의 트래픽을 스니핑한다.

 

 

⑤ ICMP 리다이렉트

- 스니핑 시스템을 네트워크에 존재하는 또 다른 라우터라고 알림으로써 희생자의 라우팅 테이블을 변조시키고 패킷의 흐름을 바꾸는 공격이다.

 

 

⑥ 스위치의 SPAN(Switch Port Analyzer) / Port Mirroring 기능 이용

- 스위치의 SPAN / Port Mirroring 기능은 스위치를 통과하는 모든 트래픽을 볼 수 있는 기능으로 특정 포트에 분석 장비를 접속하고 다른 포트의 트래픽을 분석 장비로 자동 복사해주는 기술이다.

- 관리적인 목적으로 사용하지만 공격자가 물리적으로 해당 포트에 접근할 수 있다면 손쉽게 패킷을 스니핑할 수 있다.

 

 

스니핑 탐지 방법

● ping을 이용하는 방법

- 의심이 드는 호스트에 ping을 보낼 때, 네트워크에 존재하지 않는 MAC 주소를 위장하여 ICMP Echo Request를 보내고 ICMP Echo Reply가 수신되면 해당 호스트가 스니핑 하고 있는 것이다.

 

● ARP를 이용하는 방법

- 위조된 ARP Request를 보냈을 때 ARP Response가 수신되면 Promiscuous 모드로 설정되어 있는 것이다.

 

● DNS 방법

- 대상 네트워크로 ping sweep을 보내고 들어오는 Inverse-DNS lookup을 감시하여 스니퍼를 탐지한다.

 

● Decoy 방법

- 가짜 계정과 패스워드를 네트워크에 일부러 노출시키고, 스니핑을 수행하는 공격자가 이 계정과 패스워드를 이용해 접속을 시도할 때 탐지함으로써 스니퍼를 탐지한다.

 

● ARP watch

- 초기에 MAC 주소와 IP 주소의 매칭 값을 저장하고 ARP 트래픽을 모니터링하여 이를 변하게 하는패킷이 탐지되면 관리자에게 메일로 알려주는 툴이다.