1. Sniffing

1.1. 정의

• sniffing = 네트워크 트래픽 도청하는 과정
• sniffer = 도청 프로그램
• wireshark = 패킷 수집 + 패킷 분석 ⇒ wireshark 결과물은 스니핑 침해 증거물로써 법적으로 보호받는다.

1.3. Sniffing 방법

스니핑 방법에는 허브를 통해 전송되는 트래픽은 해당 허브에 연결된 모든 포트를 통과함을 활용한 허브환경에서의 스니핑, MAC address table을 활용한 포워딩방식을 사용하는 스위치환경에서 스니핑이 있다.

1) 포트미러링

• 관제범위를 늘리는 방법 중 가장 쉬운 방법, 패킷을 복사해 관제범위를 넓힐 수 있다.
• 관제를 위해 스위치 담당자에게 요청해야 한다.
• 관제사와 스위치가 같은 포트에 물려있을 필요는 없다.

2) 허빙 아웃(Hubbing Out)

• 허브를 추가(스위치 아래 허브를 설치)해 관제범위를 늘리는 방법
• 스위치 담당자에게 미리 말해야 한다.
• 일반적으로 사용되는 방법은 아니다.

3) 탭 사용 (Tapping)

• 가장 많이 사용되는 방법
• tap 이라는 장비는 3개의 포트로만 구성된 장비다.
• 3개 포트 이상의 사용을 위해 Network TAP라는 장비 사용. 해당 장비는 여러 관제 대상으로부터 관제자에게 보내준다.

2. 무차별모드

2.1. 정의

• 데이터 링크 계층과 네트워크 계층의 주소 필터링을 해제한 모드
• 주소 지정에 관계없이 호스트의 프로세서에 모든 패킷을 전달

*** LAN카드는 일반모드와 무차별모드 로 나뉜다. 일반적으로 LAN카드는 일반모드로 설정되어 있기 때문에 스니핑에 성공한다고 하더라도 바로 패킷을 받아들이는게 아니기 때문에 LAN카드를 '무차별모드'로 변경해야한다.

2.2. 무차별모드로 전환 방법

무차별모드로 전환하려면 Npcap 설치가 필요하다.
Npcap은 Wireshark 설치 시 함께 설치할 수 있다.