스니핑
스니핑 sniffing은 네트워크 상에서 전송되는 패킷들의 정보를 몰래 읽어내는 것입니다. 공격자는 네트워크에 특정 행동을 취하는 것이 아니라 전송되는 패킷들을 읽어내기 때문에 수동적 공격이라는 특징을 갖습니다.
공격 원리
스니핑은 네트워크 카드의 모드를 프로미스큐어스 Promiscuous모드로 설정합니다. 원래 상태에서는 자신의 MAC 주소로 전송된 패킷을 받지만 프로미스큐어스 모드에서는 모든 패킷을 수신하게 되어 네트워크 상에서 흐르는 패킷들을 가로채고, 이를 분석해 정보를 얻어낼 수 있게 됩니다.
스니핑 공격 유형
대표적인 스니핑 공격에는 다음과 같은 것들이 있습니다.
- 패킷 스니핑: 가장 기본적인 스니핑, 네트워크 상에서 전송되는 패킹의 도청
- ARP 스푸핑 기반 스니핑: 가짜 MAC 주소를 응답해 공격자에게 통신을 유도 후 도청
- 스위치 재밍: 스위치 기반 네트워크에서 브로드캐스트 상태를 만들어 전체 패킷 도청
스니핑 공격 방어
스니핑 공격은 수동적 공격이기 때문에 방어자가 능동적으로 탐색을 수행해야 잡아낼 수 있습니다. 능동적 탐색을 위해 모든 패킷을 수신한다는 프로미스큐어스 모드의 특성을 이용합니다.
- PING 탐지
스니퍼는 대부분 TCP/IP에서 동작하므로 요청을 보낸 응답을 보내게 됩니다. 이를 이용해서 네트워크에 존재하지 않는 MAC 주소를 가진 PING을 보냈을 때 ICMP echo reply를 받게되면 해당 호스트가 스니핑 중임을 탐지할 수 있게 됩니다.
비슷한 방식으로 위조된
ARP Request를 보냈을 때ARP Response가 돌아오면 프로미스큐어스 모드의 스니퍼를 찾을 수 있습니다.
-
DNS 탐지
스니핑 툴은 편의를 위해 스니핑한 시스템의 IP주소에DNS (Domain Name System)이름 해석 과정인Reverse-DNS lookup작업을 수행합니다. 이를 이용해 네트워크에 ping sweep을 보내고 돌아오는 Reverse-DNS lookup을 감시하여 탐지합니다. -
유인 탐지
스니핑 공격의 주 목적은 패킷에 담긴 ID & PW를 탈취하는 것이 목적입니다. 따라서 관리자는 가짜 ID & PW를 네트워크에 지속적으로 뿌리고 누군가가 이 가짜 인증 정보를 통해 접속을 시도할 때 스니퍼를 탐지하게 됩니다.
스푸핑
스푸핑 spoofing은 '속이다'라는 의미를 가지며, 공격자가 신원 등을 위조해 정상 사용자인 척 속이는 공격들을 의미합니다.
스푸핑 공격 유형
대표적인 스푸핑 공격에는 다음과 같은 것들이 있습니다.
- IP 스푸핑: 공격자가 자신의 IP 주소를 위조해 패킷 전송. 신뢰 기반 통신에서 신뢰 관계를 획득
- ARP 스푸핑: 공격자가 가짜 MAC 주소를 응답하여 공격 대상의 패킷이 공격자를 거치게 함. 중간자 공격의 형태를 띄어 스니핑이 가능
- DNS 스푸핑: 공격 대상이 요청한 도메인 주소에 대해 공격자가 위조된 DNS 응답 반환. 가짜 피싱 사이트를 통해 정보 탈취 등
- 이메일 스푸핑: 발신자의 이메일 주소를 위조하여 신뢰 관계를 얻고 스팸, 피싱 메일 전송
- 웹/세션 스푸핑: 사용자의 세션 쿠키를 탈취/위조하여 정상 사용자의 세션에 무단 접근
스푸핑 공격 방어
- 기존의 ARP, DNS의 보안을 강화시킨 동적 ARP 검사, DNSSEC 사용
- IP/포트 기반 인증 대신 암호 기반 인증 사용
- HTTPS, VPN, TSL과 같은 종단 간 암호화(E2EE) 이용
- SPF, DMARC 등 설정으로 이메일 위조 방조
- 사용자의 피싱 사이트, 링크 접속 주의
- 스니핑: 도청 공격
- 스푸핑: 위조 공격
