정보보안 스니핑과 스푸핑에 대해서 알아보자

스니핑(Sniffing)과 스푸핑(Spoofing) 공격형태와 대응방법을 알아보자

1. 스니핑

 ㅇ 공격 원리

  - 데이터속에서 정보를 추출

  - 공격 시 액션이 없기 떄문에 수동적 공격이라 부른다.

 ㅇ 공격 종류

  - 스위치 재밍 공격

    · 스위치가 패킷을 스위칭할 때 스위치 기능을 마비시킨다.

    · 고가의 스위치는 MAC테이블 캐시와 연산자가 쓰는 캐시가 독립적으로 나누어 있어 공격이 통하지 않는다.

  - SPAN포트 태핑 공격

    · 스위치의 포트 미러링 기능을 이용한 공격

    · 포트 미러링 : 각 포트에 전송되는 데이터를 미러링하는 포트에도 똑같이 보내는 것으로 침입 탐지 시스템이나 네트워크 모니터링 시스템을 설치할 때 많이 사용

    · IDS허브 설치하명 방어 가능, 단 네트워크 속도가 느려진다.

 ㅇ 공격탐지

  - Ping이용

    · 의심 호스트에 존재하지 않는 MAC주소를 위장해 ping을 보낸다.

    · 스니핑 호스트가 아니면 ping request를 볼 수 없는 것이 정상이다.

  - ARP이용

    · 위조된 ARP Request를 보냈을 때 ARP reponse가 오면 프러미스큐어스 모드로 설정 된것 이므로 탐지 가능하다.

  - DSN이용

    · IP주소에 DNS의 이름 해석과적인 Reverse -DNS lookup을 수행함. 대상 네트워크로 ping sweep을 보내고 들어오는 Reverse-DSN lookup을 감시하면 스니퍼 탐지 가능

  - 유인이용

    · 가짜 아이디와 패스워드를 네트워크에 계속 뿌려서 공격자가 이를 이용해 접속을 시도하면 스니퍼 탐지 가능

  - ARP watch이용

    · ARP watch는 MAC 주소와 IP주소의 매칭 값을 초기에 저장하고 ARP트래픽을 모니터링하여 이를 변하게 하는 패킷이 탐지되면 알려주는 툴이다

    · 대부분의 공격기법은 위조된 ARP를 사용하기 때문에 쉽게 탐지 가능하다

 

 

 

2. 스푸핑

 ㅇ 공격 종류

  - ARP 공격

    · MAC주소를 속여 서버 클라이언트간 패킷을 공격자에게 보내어 통신흐름을 왜곡하는 공격이다.

  - IP 공격

    · 신뢰관계 의 서버와 클라이언트 확인 후 클라이언트 IP주소 확보하여 서버에 접근하는 기법

    · 유닉스 OS에서 신뢰관계 주로 사용한다.

    · 트러스트를 사용하지 않는 것이 대응책이며 취약한 패스워드가 없어야 한다.

  - DNS 공격

    · 실제DNS 서버보다 빨리 DNS reponse 패킷을 보내어 공격 대상이 잘못된 IP주소로 웹 접속을 하도록 유도하는 공격이다.

    · DNS 스푸핑 공격을 막으려면 중요 서버에 대해 DNS query를 보내지 않으면 된다. 이를 위해서는 중요 접속 서버의 URL에 대한 IP를 hosts파일에 등록 해야한다.

    · 모든 서버의 IP를 등록하는것은 무리이므로 모든 서버의 DNS스푸핑을 마기는 어렵다.