[스니핑 공격 기법]ARP Spoofing/ARP Cache Poisoning/Switch Jamming
스니핑 공격 기법
- ARP Cache Poisoning
- ARP Spoofing
- Switch Jamming
ARP Spoofing
[정의]
ARP Cache Poisoning 등으로 오염된 ARP 캐시테이블을 이용해 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다. 이 공격은 데이터 링크 상의 프로토콜인 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격이다. 1
[공격 예시]
타겟1 : Bob / 타켓2 : Alice / 공격자 : Attacker
- 공격자가 타겟 Bob에게 Alice의 맥주소를 자신(Attacker)의 맥주소인 cc:cc:cc:cc:cc:cc로 변조된 패킷을 보낸다.
- Bob의 arp cache table은 변조된 패킷에 의해 오염된다.
- Bor이 Alice와 통신하기 위해 데이터를 보내면 변조된 맥주소인 공격자로 데이터를 보내게 된다.
- 만약, 변조된 패킷을 보내 놓으면 타겟이 서로 통신이 되지 않기 때문에 금방 공격을 눈치챌 수 있으므로, flagrouter와 같은 프로그램으로 포워딩을 시켜 공격을 은닉한다. 2
[방어 방법]
- 패킷 감지 프로그램 사용
와이어샤크와 같은 패킷 감지 프로그램을 이용하면 주기적으로 자신의 주소가 아님에도 불구하고 ARP신호를 보내는 패킷을 확인할 수 있기 때문에 쉽게 감지할 수 있다.
- 정적 ARP 엔트리 사용
로컬 방식에서 사용되는 공격 방식이기 때문에, 로컬 ARP 캐쉬를 정적으로 정의할 수 있다. 이 경우 ARP 신호를 받아도 무시하기 때문에 운영체제에서 제대로만 관리된다면 완벽한 방어 방법으로 사용할 수 있다.
- ARP 스푸핑 감지 소프트웨어
ARP 스푸핑을 확인하는 소프트웨어는 ARP 응답을 상호확인하는 방법이나, 특별한 형식의 인증서를 사용한다. 인증되지 않은 ARP 응답은 차단된다.
Switch Jamming
[정의]
스위치를 마비시키는 공격 기법. 대량의 패킷을 만들어서 스위치에 MAC테이블을 가득 채워 테이블이 오버플로우가 되도록 한다. MAC 테이블이 가득 채워지면 모든 네트워크 세그먼트에 브로드캐스트로 패킷을 날리게 되고 더미 허브화가 되어 버린다. 스위치가 통신불능이 되게 하면서 모든 패킷을 엿볼 수 있는 공격 기법이다.
스니핑 방어 방법
- SSL 적용
HTTP, IMAP, POP, SMTP, Telnet 등은 SSL을 적용하여 HTTPS, IMAPS, POPS, SMTPS, Telnets 등으로 할 수 있다. SSL은 물론 HTTP에 가장 많이 활용되며 이를 적용하여 사용자 이름, 패스워드 및 전자 상거래 결재 정보 등 웹 서핑의 내용을 암호화 할 수 있다.
- PGP, S/MIME
SMTP 상으로 보내지는 메일은 기본적으로 암호화 되지 않기 때문에 스니핑하여 그 내용을 쉽게 얻어낼 수 있다. PGP, S/MIME 등을 이용하여 메일에 대한 암호화 기능을 제공할 수 있다.
- SSH
암호화 통신을 제공하여 Telnet, FTP, RCP, Rlogin 등을 대치할 수 있다.
- 사설망 혹은 가상사설망(VPN)
스니핑이 우려되는 네트워크 상에 전용선(leased line)으로 직접 연결함으로 중간에 도청되는 것을 막는 것이 사설망이다. 하지만 이는 거리가 멀어질수록 인터넷을 이용하는 것에 비해 비용이 매우 비싸질 수 밖에 없다. 인터넷 회선을 이용하며 사설망의 효과를 줄 수 있는 것이 VPN이다. VPN 장비 간의 암호화를 통해 도청을 막을 수 있다.
'Security > network' 카테고리의 다른 글
서비스 거부 공격/분산 서비스 거부 공격(DOS/DDOS) (0) | 2017.04.17 |
---|---|
체크섬(checksum) 계산법 (1) | 2017.04.17 |
ICMP(인터넷 제어 메시지 프로토콜) 정의, ICMP 메시지, ICMP Header(헤더) (0) | 2017.04.10 |
ARP(주소 결정 프로토콜) 정의, ARP 종류, ARP Hedaer(헤더) (0) | 2017.04.10 |
이더넷(Ethernet) 정의, CSMA/CD 과정, 이더넷헤더 (0) | 2017.04.04 |