[스니핑 공격 기법]ARP Spoofing/ARP Cache Poisoning/Switch Jamming

스니핑 공격 기법

• ARP Cache Poisoning
• ARP Spoofing
• Switch Jamming

ARP Cache Poisoning

[정의]

목표 서버(같은 네트워크 단위)의 트래픽을 가로채기 위해 서버에 잘못된 MAC 주소 정보를 보내 해당 ARP 캐시테이블을 오염시키는 것으로 ARP 프로토콜의 내용의 검증을 확인하지 않는 프로토콜 자체의 취약점을 이용한 공격 기법이다. ARP Spoofing을 하기 위한 선행 단계로 많이 사용한다.

ARP Spoofing

[정의]

ARP Cache Poisoning 등으로 오염된 ARP 캐시테이블을 이용해 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법^[각주:1]이다. 이 공격은 데이터 링크 상의 프로토콜인 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격이다.

[공격 예시]

타겟1 : Bob    /    타켓2 : Alice    /    공격자 : Attacker

1. 공격자가 타겟 Bob에게 Alice의 맥주소를 자신(Attacker)의 맥주소인 cc:cc:cc:cc:cc:cc로 변조된 패킷을 보낸다.
2. Bob의 arp cache table은 변조된 패킷에 의해 오염된다.
3. Bor이 Alice와 통신하기 위해 데이터를 보내면 변조된 맥주소인 공격자로 데이터를 보내게 된다. 
4. 만약, 변조된 패킷을 보내 놓으면 타겟이 서로 통신이 되지 않기 때문에 금방 공격을 눈치챌 수 있으므로, flagrouter^[각주:2]와 같은 프로그램으로 포워딩을 시켜 공격을 은닉한다.

[방어 방법]

• 패킷 감지 프로그램 사용

와이어샤크와 같은 패킷 감지 프로그램을 이용하면 주기적으로 자신의 주소가 아님에도 불구하고 ARP신호를 보내는 패킷을 확인할 수 있기 때문에 쉽게 감지할 수 있다.

• 정적 ARP 엔트리 사용

로컬 방식에서 사용되는 공격 방식이기 때문에, 로컬 ARP 캐쉬를 정적으로 정의할 수 있다. 이 경우 ARP 신호를 받아도 무시하기 때문에 운영체제에서 제대로만 관리된다면 완벽한 방어 방법으로 사용할 수 있다.

• ARP 스푸핑 감지 소프트웨어

ARP 스푸핑을 확인하는 소프트웨어는 ARP 응답을 상호확인하는 방법이나, 특별한 형식의 인증서를 사용한다. 인증되지 않은 ARP 응답은 차단된다.

Switch Jamming

[정의]

스위치를 마비시키는 공격 기법. 대량의 패킷을 만들어서 스위치에 MAC테이블을 가득 채워 테이블이 오버플로우가 되도록 한다. MAC 테이블이 가득 채워지면 모든 네트워크 세그먼트에 브로드캐스트로 패킷을 날리게 되고 더미 허브화가 되어 버린다. 스위치가 통신불능이 되게 하면서 모든 패킷을 엿볼 수 있는 공격 기법이다.

스니핑 방어 방법

• SSL 적용

HTTP, IMAP, POP, SMTP, Telnet 등은 SSL을 적용하여 HTTPS, IMAPS, POPS, SMTPS, Telnets 등으로 할 수 있다. SSL은 물론 HTTP에 가장 많이 활용되며 이를 적용하여 사용자 이름, 패스워드 및 전자 상거래 결재 정보 등 웹 서핑의 내용을 암호화 할 수 있다.

• PGP, S/MIME

SMTP 상으로 보내지는 메일은 기본적으로 암호화 되지 않기 때문에 스니핑하여 그 내용을 쉽게 얻어낼 수 있다. PGP, S/MIME 등을 이용하여 메일에 대한 암호화 기능을 제공할 수 있다.

• SSH

암호화 통신을 제공하여 Telnet, FTP, RCP, Rlogin 등을 대치할 수 있다.

• 사설망 혹은 가상사설망(VPN)

스니핑이 우려되는 네트워크 상에 전용선(leased line)으로 직접 연결함으로 중간에 도청되는 것을 막는 것이 사설망이다. 하지만 이는 거리가 멀어질수록 인터넷을 이용하는 것에 비해 비용이 매우 비싸질 수 밖에 없다. 인터넷 회선을 이용하며 사설망의 효과를 줄 수 있는 것이 VPN이다. VPN 장비 간의 암호화를 통해 도청을 막을 수 있다.

1. MITM(man in the middle) 공격 기법 [본문으로]
2. flagrouter : 공격자로부터 IP 패킷들이 fragrouter에 전달되면 fragrouter에서는 이 패킷을 fragmented된 데이터 스트림으로 바꾸어서 목표시스템에 포워딩해준다. [본문으로]