Sniffing & Spoofing(스푸핑)

Sniffing(스니핑)

● 정보를 엿듣거나 훔쳐보는 행위

• 도청(eavesdrop) : 타인의 통신 내용을 동의 없이 청취, 녹음하는 행위
• 와이어태핑(wiretapping) : 기계적인 방법을 이용하여 데이터를 도청하는 행위
• 탬페스트(tempest) : 하드웨어에서 발생하는 미세한 전자파를 이용하는 도청 행위

● Sniffing 공격 조건 

• Media 공유 : 정보를 가지고 있는 신호가 공격자의 시스템에 도착해야 함
• 공격자 시스템의 NIC가 Promiscuous 모드로 동작해야 함
• 공격자 시스템에서 Sniffer 프로그램을 사용해야 함
• Sniffing할 데이터가 암호화 되지 않아야 함

 

MITM (Man In The Middle)

● 공격자가 통신 경로의 중간에 끼어드는 공격 형태

● 공격 목적

• Sniffing, Filtering, Injection, Dos, Spoofing

● 방식

• Transparent type, Proxy Type
• Transparent MITM
• 통신경로사이에서 공격자가 노출되지 않고 MITM 공격을 수행하는 방식
• 데이터는 공격자를 경유하지만 데이터의IP 주소는 변경되지 않음
• Proxy Type
• 통신경로 사이에서 공격자가 노출되면서 MITM 공격을 수행하는 방식
• IP주소를 변조하여 통신의 흐름을 공격자로 변경되게 함

Spoofing

● 속임을 이용한 공격을 총칭

● 침입, 공격의 목적으로 데이터를 위/변조 하는 모든 행위

● 변조하는 데이터 종류→ MAC주소, IP 주소, Port주소, 다양한 프로토콜의 필드 값

● Spoofing공격 종류

• ARP Spoofing
• IP Spoofing
• DNS Spoofing
• DHCP Spoofing

ARP Spoofing (ARP Cache Poisoning)

● 네트워크에서 ARP(Address Resolution Protocol) 메시지를 조작하여, 네트워크 상의 장치들이 서로 잘못된 MAC 주소를 참조하게 만드는 공격 기법

※ARP - 논리적 주소(IP)로 물리적 주소(MAC)를 알아오는 프로토콜

● 취약점

→ ARP의 인증부재

→ ARP Cache Table은 최신 정보를 실시간 업데이트 한다.

● 해결법

→ 정적 설정을 사용한다.

→ 정적 : 관리자,명령어를 통해 직접 설정한다.

→ 모니터링을 한다.(비효율적)(24시간 불가능)

→ ARP Cache Table 의도적으로 확인하기(비효율적)(PC가 너무 많으면 일일이 확인 불가능)

(중복된 MAC주소가 발견된다.MAC주소는 유일성이 보장되야 하는데~)

---

(밑에 내용은 복습하는 내용이다)

10.1 → 10.2
① ping 10.2

② routing table 확인

→ 10.2가 인접 장비인지 or 다른 네트워크인지 확인

인접 장비로 확인

③ MAC 주소 확인

→ ARP Cache Table에서 확인

→ 10.2의 MAC주소 확인

→ MAC주소가 있다면 D.A에 적어서 통신

④ ARP Request 전송

⑤ ARP 확인, 응답

⑥ ARP Reply 전송

⑦ ARP Cache에 저장

10.2 → B

⑧ ICMP 다시 전송

---

다른 예시

※10.1 → 20.1 (사이에는 라우터가 2개가 있다)

→ 10.1은 10.254(라우터 장비)의 MAC주소를 알아야 한다. 

→ 10.254는 20.254(라우터 장비)의 MAC주소를 알아야 한다.

→ 20.254(라우터 장비)는 20.1의 MAC주소를 알아야 한다.

---