스니핑 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
12번째 줄: | 12번째 줄: | ||
* 허브 환경처럼 단순히 모두 받아들이는 것 만으로는 스니핑이 불가능하다. | * 허브 환경처럼 단순히 모두 받아들이는 것 만으로는 스니핑이 불가능하다. | ||
* 자신을 목적지로 속여 목적지 주소를 조작하는 방식, 스위치를 공격하여 정보를 브로드캐스팅 하도록 만드는 방법이 있다. | * 자신을 목적지로 속여 목적지 주소를 조작하는 방식, 스위치를 공격하여 정보를 브로드캐스팅 하도록 만드는 방법이 있다. | ||
== 탐지 방법 == | == 탐지 방법 == | ||
31번째 줄: | 23번째 줄: | ||
* ARP Cache Table에 같은 맥주소가 여러 IP에 할당되어 있거나, 게이트웨이의 맥주소가 변경되어 있는 경우 그 맥주소를 사용하는 호스트가 공격자이다. | * ARP Cache Table에 같은 맥주소가 여러 IP에 할당되어 있거나, 게이트웨이의 맥주소가 변경되어 있는 경우 그 맥주소를 사용하는 호스트가 공격자이다. | ||
== | == 조치 == | ||
=== 무차별 모드 해제 === | === 무차별 모드 해제 === | ||
* 의심되는 내부 망 호스트를 점검하였을 때 Promiscuous Mode가 확인되면 해당 모드를 해제한다. | * 의심되는 내부 망 호스트를 점검하였을 때 Promiscuous Mode가 확인되면 해당 모드를 해제한다. | ||
60번째 줄: | 52번째 줄: | ||
=== ARP 테이블 변경 === | === ARP 테이블 변경 === | ||
* 스위치 환경에서의 스니핑은 대부분 ARP 스푸핑을 통해 발생한다. | * 스위치 환경에서의 스니핑은 대부분 ARP 스푸핑을 통해 발생한다. | ||
* 조작된 ARP 테이블을 복구하기 위해선 [[ARP 스푸핑|ARP 스푸핑 문서]] 참조 | * 조작된 ARP 테이블을 복구하기 위해선 [[ARP 스푸핑]] 문서 참조 | ||
== 스니핑 기법 == | |||
* Switch Jamming | |||
** [[스위치 재밍|스위치 재밍 문서]] 참조 | |||
* ARP Spoofing | |||
** [[ARP 스푸핑|ARP 스푸핑 문서]] 참조 | |||
* ARP Redirect | |||
* ICMP Redirect | |||
== | == 대응 방안 == | ||
* 메시지 암호화 | * 메시지 암호화 | ||
** 스니핑 되더라도 정보가 노출되지 않는다. | ** 스니핑 되더라도 정보가 노출되지 않는다. | ||
* ARP Cache Table을 Static하게 변경 | |||
** [[ARP 스푸핑]]을 방지한다. | |||
** 자세한 내용은 [[ARP 스푸핑|ARP 스푸핑 문서]]에서 다룸 | |||
* Switch에서 Port Security, ARP Inspection 기능을 사용한다. | * Switch에서 Port Security, ARP Inspection 기능을 사용한다. | ||
* Anti-sniff, ARP Watch와 같은 탐지 도구를 사용한다. | * Anti-sniff, ARP Watch와 같은 탐지 도구를 사용한다. | ||
* 조직 환경에 맞게 작은 단위로 VLAN을 구성한다. | * 조직 환경에 맞게 작은 단위로 VLAN을 구성한다. | ||
** 브로드캐스트되는 범위를 줄임으로써 공격을 약화시킨다. | ** 브로드캐스트되는 범위를 줄임으로써 공격을 약화시킨다. |