[Security Theory] Sniffing(스니핑) 이란?

1. Sniffing 개념

Sniffing의 사전적 의미는 코를 킁킁거리다, 냄새를 맡다 등의 뜻이 존재한다.

자신이 아닌상대방들의 패킷이 통신망에 돌아다니는 데이터를 몰래 도청하는 행위이다.

정보자산의 기밀성을 저해한다.

 

정보보호의  3요소

2. 스니핑의 종류

1) 허브 환경에서의 스니핑

허브는 기본적으로들어온 패킷에 대해 패킷이 들어온 포트를 제외한 모든 포트에 패킷을 보낸다.

랜카드를 Promoscuous모드(무차별 모드)로 동작하게 하면다른 사람들의 패킷을 받아 볼 수 있다.

스니핑 도구를 통해 해당 패킷을 저장하고 분석하는것이 가능하다.

 

2) 스위치 환경에서의 스니핑

2.1) Switch Jamming

스위치의 MAC Address Table에 대량의 APR Reply 패킷을 보내 오버플로우 시켜서 허브처럼 동작하게 한다.

스위치는 Fail Open 정책을 따르기 때문에 오버플로우 발생 시 모든 패킷을 Broadcast전송하게 된다.

 

2.2) ARP Spoofing Attacker

Attacker가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 만들어 Victim에게 지속적으로 전송하면 Victim의 ARP Cache에 특정 호스트의 MAC정보가 공격자의 MAC 정보로 변경된다.

 

2.3) ARP Redirect

자신이 라우터 인것처럼 MAC 주소를 위조하여 ARP Reply 패킷을 해당 네트워크에 브로드캐스트 한다.

받은 패킷은 수신한 후 라우터로 Relay 해주어야 Victim에서 정상적인 통신이 가능하다. 

 

2.4) ICMP Redirect

3계층에서 스니핑 시스템을 네트워크에 존재하는 또 다른 라우터라고 알림으로써 패킷의 흐름을 바꾼다.

 

2.5) SPAN/Port Mirroring 기능 이용

스위치를 통과하는 모든 트래픽을 볼 수 있는 기능이다.

공격자가 물리적으로 해당 포트에 접근할 수 있다면 손쉽게 패킷을 스니핑 가능하다.

3. 스니핑 대응책

능동적인 대응책: 스니퍼가 네트워크에 존재하는지 알아보는 방법이다.

수동적인 대응책: 스니핑을 수행하더라도 해당 내용이 노출되지 않게 암호화한다.

 

1) 스니핑 탐지

ping: 위조된 MAC 주소를 통해 ping을 보낸 후 ICMP Reply를 받으면 프러미스시큐어스 모드로 설정된 것이다.

ARP: 위조된 ARP Request를 보낸 후 ARP Response가 오면 프러미스시큐어스 모드로 설정된 것이다.

DNS: 테스트 대상 네트워크로 Ping Sweep을 보내고 들어오는 Inverse-DNS Lookup(DNS 이름 해석과정)을 감시한다.

유인(Decoy): 가짜 계정, 패스워드를 네트워크에 뿌린 후 이계정을 통해 접속하는 사용자 파악한다.

ARP Watch: MAC-IP 주소 매칭 값을 저장하고 이를 위반한 패킷이 탐지되면 메일로 알려준다.

 

2) 네트워크 스니퍼

패킷 또는 LAN 세그먼트상을 지나는 트래픽을 분석할 수 있는 프로그램 또는 장비이다.

프리미어시큐어스 모드로 동작하는 네트워크 어댑터를 이용하여 네트워크에 접속, 이 어댑터의 드라이버는 데이터를 캡처한다.

 

4. Sniffing 용어

도청(envesdropping): 타인의 통신 내용을 당사자의 동의 없이 은밀히 청취, 녹음하는 것이다.

와이어 태핑(wire tapping): 기계적인 방법을 이용하여 유선으로 데이터를 도청하는 것이다.

템페스트(tempest): 사용 중인 전자파를 이용한 정보 도청이다.