익명 사용자
로그인하지 않음
토론
기여
계정 만들기
로그인
IT 위키
검색
스니핑
편집하기
IT 위키
이름공간
문서
토론
더 보기
더 보기
문서 행위
읽기
편집
원본 편집
역사
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
[[분류:보안]][[분류:보안 공격]][[분류:정보보안기사]] ; 네트워크상에 흘러다니는 트래픽을 훔쳐보는 행위. 주로 자신에게 와야할 정보가 아닌 정보를 자신이 받도록 조작하는 행위를 말한다. == 원리 == === 허브 환경 === * 정보가 브로드캐스팅 되고 있는 환경이라면 단순히 브로드캐스트된 정보를 받아들이는 것만으로 스니핑 가능 * 원래는 데이터가 브로드캐스트 되더라도 자신이 목적지가 아닌 정보는 버리게 되어있다. * [[NIC]]의 설정 변경을 통해 Promiscuous Mode(무차별 모드)를 활성화 하면 목적지에 관계 없이 도달하는 패킷을 모두 받아들인다. === 스위치 환경 === * 스위치 환경에선 정보가 브로드캐스팅 되지 않고 목적지를 특정하여 보내진다. * 허브 환경처럼 단순히 모두 받아들이는 것 만으로는 스니핑이 불가능하다. * 자신을 목적지로 속여 목적지 주소를 조작하는 방식, 스위치를 공격하여 정보를 브로드캐스팅 하도록 만드는 방법이 있다. == 스니핑 기법 == * Switch Jamming ** [[스위치 재밍|스위치 재밍 문서]] 참조 * ARP Spoofing ** [[ARP 스푸핑|ARP 스푸핑 문서]] 참조 * ARP Redirect * ICMP Redirect == 탐지 방법 == === 허브 환경 === * 허브 환경에서는 스니핑도 쉬운만큼 스니핑 탐지도 쉽다. * Promiscuous Mode인 호스트를 찾으면 된다. * 가짜 MAC 주소로 설정한 ping을 보낸다. 정상적인 호스트는 받지 못할테니 응답이 없고 Promiscuous Mode인 경우만 응답한다. === 스위치 환경 === * 주로 ARP Cache Table을 조작하는 방법을 쓴다. * ARP Cache Table에 같은 맥주소가 여러 IP에 할당되어 있거나, 게이트웨이의 맥주소가 변경되어 있는 경우 그 맥주소를 사용하는 호스트가 공격자이다. == 대응 == === 무차별 모드 해제 === * 의심되는 내부 망 호스트를 점검하였을 때 Promiscuous Mode가 확인되면 해당 모드를 해제한다. <pre class='shell'> # ifconfig eth0 Link encap:Ethernet HWaddr 00:0C:29:3E:B6:A2 inet addr:11.11.11.11 Bcast:11.11.11.255 Mask:255.255.255.0 inet6 addr: fe80::fe80:fe80:fe80:fe80/64 Scope:Link UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:11182843 errors:0 dropped:0 overruns:0 frame:0 TX packets:8329369 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:139980359 (115.5 MiB) TX bytes:11259325956 (10.4 GiB) # ifconfig eth0 -promisc # ifconfig eth0 Link encap:Ethernet HWaddr 00:0C:29:3E:B6:A2 inet addr:11.11.11.11 Bcast:11.11.11.255 Mask:255.255.255.0 inet6 addr: fe80::fe80:fe80:fe80:fe80/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:11182843 errors:0 dropped:0 overruns:0 frame:0 TX packets:8329369 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:139980359 (115.5 MiB) TX bytes:11259325956 (10.4 GiB) </pre> * 상태의 발생시점을 추적하기 위해선 [[리눅스 messages|/var/log/messages]]를 확인한다. === ARP 테이블 변경 === * 스위치 환경에서의 스니핑은 대부분 ARP 스푸핑을 통해 발생한다. * 조작된 ARP 테이블을 복구하기 위해선 [[ARP 스푸핑|ARP 스푸핑 문서]] 참조 === 기타 대응 방안 === * 메시지 암호화 ** 스니핑 되더라도 정보가 노출되지 않는다. * Switch에서 Port Security, ARP Inspection 기능을 사용한다. * Anti-sniff, ARP Watch와 같은 탐지 도구를 사용한다. * 조직 환경에 맞게 작은 단위로 VLAN을 구성한다. ** 브로드캐스트되는 범위를 줄임으로써 공격을 약화시킨다.
요약:
IT 위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는
IT 위키:저작권
문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다.
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
둘러보기
둘러보기
대문
최근 바뀜
광고
위키 도구
위키 도구
특수 문서 목록
문서 도구
문서 도구
사용자 문서 도구
더 보기
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
문서 기록
