Sniffing

sniffing = "냄새를 맡다"
네트워크 상에서 흘러다니는 자신이 아닌 다른 상대방의 패킷 교환을 도청

주로 계정정보를 훔치는 공격방법
암호화되지 않은 트래픽의 경우 정보 노출 위협 증가

종류

• Switch Jamming
  MAC Table을 위한 캐시 공간에 버퍼 오버플로우 공격 => 저장용량 초과 => 더미허브와 똑같이 작동
• ICMP Redirect
  IP route 테이블 변조
• ARP spoofing

Promiscuous 모드

주소와 상관없이 모든 패킷을 스니퍼에게 넘겨주는 모드 (==bypass 모드)

허브: Flooding / 스위치: Forwarding

wireshark도 일종의 스니퍼

스위치 환경에서의 스니핑

1. 포트미러링 - 스위치를 지나 uplink하는 트래픽을 스니핑
2. Hubbing Out
3. TAB (트래픽 분배기) - 트래픽 분배기의 여분포트를 이용하여 스니퍼를 연결
4. ARP Cache Poisoning

ICMP Redirect

Routing Table을 변조하여 네트워크 흐름을 통제하기 위한 공격방법
2계층이 아닌, 3계층에서 동작

※ ICMP == 경로 설정하는 IP주소의 보조 역할

ICMP Redirect 실습

Windows XP 라우팅테이블 조회 (공격전)

Routing Table 변조

BackTrack에서 포워딩 설정

fragrouter -B1

icmpush를 이용하여 icmp redirect 공격을 실행

icmpush -vv -red -sp 10.0.0.2 -gw 10.0.0.101 -dest 168.126.63.1 -c host 10.0.0.50

▪ -gw 새로 사용할 게이트 웨이
▪ -sp 현재(실제) 게이트 웨이 ip
▪ -dest 공격대상이 접속할 대상서버의 ip

+) 트래픽 발생
ping 168.126.63.1 -t

Windows XP에서 확인

Windows XP 라우팅테이블 조회 (공격후)

새로운 라우팅 테이블 한줄 추가됨

Windows XP WireShark에서 redirect 패킷 조회

ICMP 패킷

DNS 패킷

---

Sniffing 공격에 대한 대응방안

스위치 장비 설정을 통한 방어 기법
암호화
VPN 망 도입