스니핑: 두 판 사이의 차이
IT위키
(새 문서: ; 네트워크상에 흘러다니는 트래픽을 훔쳐보는 행위. 주로 자신에게 와야할 정보가 아닌 정보를 자신이 받도록 조작하는 행위를 말한다....) |
편집 요약 없음 |
||
| 18번째 줄: | 18번째 줄: | ||
* ARP Redirect | * ARP Redirect | ||
* ICMP Redirect | * ICMP Redirect | ||
== 대응 방안 == | |||
* 메시지 암호화 | |||
** 스니핑 되더라도 정보가 노출되지 않는다. | |||
* ARP Cache Table을 Static하게 변경 | |||
** [[ARP 스푸핑]]을 방지한다. | |||
** 자세한 내용은 [[ARP 스푸핑|ARP 스푸핑 문서]]에서 다룸 | |||
* Switch에서 Port Security, ARP Inspection 기능을 사용한다. | |||
* Anti-sniff, ARP Watch와 같은 탐지 도구를 사용한다. | |||
* 조직 환경에 맞게 작은 단위로 VLAN을 구성한다. | |||
** 브로드캐스트되는 범위를 줄임으로써 공격을 약화시킨다. | |||
2018년 5월 19일 (토) 00:33 판
- 네트워크상에 흘러다니는 트래픽을 훔쳐보는 행위. 주로 자신에게 와야할 정보가 아닌 정보를 자신이 받도록 조작하는 행위를 말한다.
원리
허브 환경
- 정보가 브로드캐스팅 되고 있는 환경이라면 단순히 브로드캐스트된 정보를 받아들이는 것만으로 스니핑 가능
- 원래는 데이터가 브로드캐스트 되더라도 자신이 목적지가 아닌 정보는 버리게 되어있다.
- NIC의 설정 변경을 통해 Promiscuous Mode(무차별 모드)를 활성화 하면 목적지에 관계 없이 도달하는 패킷을 모두 받아들인다.
스위치 환경
- 스위치 환경에선 정보가 브로드캐스팅 되지 않고 목적지를 특정하여 보내진다.
- 허브 환경처럼 단순히 모두 받아들이는 것 만으로는 스니핑이 불가능하다.
- 자신을 목적지로 속여 목적지 주소를 조작하는 방식, 스위치를 공격하여 정보를 브로드캐스팅 하도록 만드는 방법이 있다.
방법
- Switch Jamming
- 스위치 재밍 문서 참조
- ARP Spoofing
- ARP Redirect
- ICMP Redirect
대응 방안
- 메시지 암호화
- 스니핑 되더라도 정보가 노출되지 않는다.
- ARP Cache Table을 Static하게 변경
- ARP 스푸핑을 방지한다.
- 자세한 내용은 ARP 스푸핑 문서에서 다룸
- Switch에서 Port Security, ARP Inspection 기능을 사용한다.
- Anti-sniff, ARP Watch와 같은 탐지 도구를 사용한다.
- 조직 환경에 맞게 작은 단위로 VLAN을 구성한다.
- 브로드캐스트되는 범위를 줄임으로써 공격을 약화시킨다.
