스니핑(Sniffing)
1월 09, 2017스니핑(sniffing)
스니핑이란 간단히 말씀드리면
그림에서 보듯이 네트워크에서 지나다니는 정보들을 몰래 훔쳐보는 것을 말합니다.
해킹에는 능동적 공격과 수동적공격이 있는데요.
능동적공격에는 디도스공격과 같은 직접적인 피해를 입히는 경우가 있고,
수동적공격에는 오늘 이야기하게 될 sniffing처럼 엿보는 경우가 있어요.
아무래도 피해는 능동적인게 크지만 능동적으로 피해를 주기 이전에 벌써 수동적인 방법으로 공격대상을 파악한 후 움직인다고 볼 수 있어요.
그렇다면 능동적으로 공격당하기 전에 미리 수동적공격일때라도 파악해서 피해를 최소화하는게 하나의 대응방법일 수도 있겠죠.
그럼 sniffing의 공격방법에 대해서 알아보겠습니다.
허브환경 스니핑
네트워크카드를 무차별 공격모드(Promiscuous Mode)로 설정하는건데요.
여기서 무차별 모드란 나의 mac주소가 아닌 패킷도 전달받는 모드입니다.
그렇게 되면 모든 패킷을 분석가능하게 되는거죠.
스위치 환경
- 모니터링 포트 이용
모니터링 포트는 스위치를 통과하는 모든 패킷의 내용을 전달하는 포트인데 제조사에서 만든 것인데
만약 물리적으로 공격자가 접근이 가능하다면 스니핑이 가능하게 될 겁니다.
- 스위치 재밍(jamming)
스위치를 공격해서 더미허브처럼 동작하게 만들어 모든PC에 패킷 전달
-> 매핑테이블의 저장개수를 초과하면 브로드캐스팅모드로 전환
- 스푸핑 공격이용
수신자처럼 위장해서 공격하는 방법으로 대표적인 ARP spoofing등이 있어요.
방지 대책
- 암호화 : 네트워크에서 주고받는 데이터를 암호화하는 것
웹환경 : HTTPS
이메일 : PGP, S/MIME
원격접속 : SSH
그외 : VPN
- 그외방지
스위치의 매핑테이블을 static으로 설정
-> 관리자가 모든pc에 대해 ip, mac 정보를 관리해야함으로 현실적으로 적용하기 힘들다.
탐지방법
- 결과값으로 판단하는 방법 : ping, arp
ping으로 접속이 안되면 실제 해당 주소를 가진 host가 없기 때문이다.
무차별모드가 켜져있다면 응답시간이 나옴
존재하지 않은 ip주소로 ping을 보내면 존재하지 않은 ip주소에서도 응답이 온다.
- 패킷을 복합적으로 분석하는 방법 : DNS방법, 유인(Decoy)
DNS방법
- 존재하지 않는 ip를 대상으로 ping을 보낸다.
- 해당ip에 대한 도메인이름을 물어오는 요청이 있는지 확인해본다.
유인(Decoy)
가짜 정보를 유출하고 그 정보를 사용하는지 분석
- Host 기반 탐지 : ifconfig(리눅스/유닉스) 와 promiscdect(윈도우)
ifconfig로 설정확인(promisc)
->의심되는 pc 혹은 서버를 일일이 직접확인
- ARP watch -> 네트워크 기반 탐지
mac ip 주소를 매핑을 감시
0 개의 댓글