스니핑 vs 스푸핑

스니핑(Sniffing)

• 사전적 의미로 킁크거리다, 해킹 기법으로 상대방이 패킷 교환을 엿듣는 것으로서, 네트워크 트래픽을 도청하는 해킹 기법. 스니핑 할 수 있도록 하는 도구를 스니퍼라고 한다
• 컴퓨터 내에서의 스니핑 공격이란?
  • IP필터링과 MAC 주소 필터링을 수행하지 않고, 랜 카드로 들어오는 전기신호를 모두 읽어 들여 다른 이의 패킷을 관찰하여 정보 유출시킴
• 스니핑 방법으로는?
  • 네트워크 환경 : 프리미스큐어스(Promiscuous) 모드로 조작하여 패킷을 수신
    • 프리미스큐어스 : 2계층과 3계층 필터링을 해제시켜 NIC에 들어오는 정보를 모두 수신
  • 스위치 환경 : ARP Redirect를 조작하여 공격자를 라우터로 속이고 패킷을 수신
• 탐지 및 대응방안
  • 스니핑 탐지 : 스니퍼는 TCP/IP에서 동작. 의심이 가는 호스트에 ping을 보낼때 네트워크에 존재하지 않는 MAC 주소로 위장하여 보냈는데 ICMP Echo Reply으로 응답 받으면, 해당 Ping을 받은 호스트가 스니핑을 수행 중인것을 탐지한다.
  • 스니핑 방지 : ARP Table을 정적으로 구성, 중요 패킷을 SSL/SSH등의 암호화 프로토콜 사용

스푸핑(Spoofing)

• 사전적 의미로 골탕 먹이다, 속여먹다로, 해커가 악용하고자 하는 호스트의 IP 주소로 위장해서 이를 통해 해킹을 하는 것이 IP 스푸핑.
• 스푸핑 방법으로는?
  • ARP 스푸핑 : 공격하고자 하는 호스트의 MAC 주소로 위장
  • IP 스푸핑 : 공격하고자 하는 호스트의 IP 주소로 위장 또는 강탈하여 권한 획득
  • DNS 스푸핑 : 실제 DNS 서버보다 빨리 공격 대상에게 DNS 응답 패킷을 보내 공격 대상이 잘못된 IP주소로 웹 접속을 하도록 유도하는 공격
• 탐지 및 대응 방안
  • 네트워크 속도 저하 발생되는지 의심
  • ARP table을 통한 MAC 주소 중복을 확인
  • hosts 파일을 통해 도메인 이름에 대한 IP주소 해석
  • hosts 파일에 중요 사이트의 IP 주소를 정적 기입