[정보보호] 스니핑 공격

 

 

 

스니핑 공격이란?

 

 

스니핑(Sniffing) 공격은 네트워크 상을 지나다니는 데이터 패킷을 몰래 엿보며 정보를 가로채는 해킹 기법을 말한다. 

공격할 때 아무것도 하지 않고 조용히 있는 것만으로도 충분하기 때문에 수동적 공격이라고도 한다. 

 

즉, 송신자와 수신자 사이 네트워크에서 패킷 정보를 도청하는 행위. 네트워크 트래픽 분석에 사용할 수도 있고, 악의적 목적으로 해커(hacker)가 네트워크 패킷을 엿보면서 데이터를 도청하는 해킹 유형을 말하기도 한다.

 

스니핑 공격 예시

 

1. 전화선이나 UTP에 태핑을 해서 전기적 신호를 분석하여 정보를 찾아내는 것

2. 전기적 신호를 템페스트 장비로 분석하는 것 

 

 

태핑? 

네트워크나 통신 회선(케이블, 광선, 무선 신호 등)에 몰래 접속하여 데이터 신호를 엿듣는 행위를 말한다.

 

물리적 태핑 (Physical Tapping)	네트워크 케이블, 전화선, 광케이블 등에 장치를 직접 연결해 신호를 복제함
광케이블 태핑 (Optical Tapping)	광케이블의 미세한 굴절·반사 특성을 이용해 빛 신호를 일부 분기시켜 도청
무선 태핑 (Wireless Tapping)	와이파이, 블루투스 등 무선 신호를 수신기로 수집
전자기적 태핑 (EM Tapping)	케이블 근처에서 방출되는 전자기파를 감지해 신호를 복원

 

https://terms.tta.or.kr/dictionary/dictionaryView.do?word_seq=056077-2

 

 

 

스니핑 공격의 원리 

 

 

 

 

네트워크 카드는 패킷의 IP 주소와 MAC 주소를 인식하고 자신의 버퍼에 저장할지를 결정한다. 이때 인식된 데이터 링크 계층과 네트워크 계층의 정보가 자신의 것과 일치하지 않는 패킷은 무시한다. 

 

하지만 이런 네트워크 카드의 필터링 기능은 공격자에게 방해가 된다. 따라사 공격자는 랜 카드의 설정 사항을 간단히 조정하거나 스니핑을 위한 드라이버를 섳ㄹ치하여 프러미스큐어스 모드로 변경시킨다. 

 

프러미스큐어스모드란? 

데이터 링크계층과 네트워크 계층의 필터링을 해제하는 랜 카드의 모드  

 

 

 

스니핑 공격의 종류 

 

1. 스위치 재밍 공격 (MACOF 공격) 

위조된 매체 접근 제어(MAC) 주소를 지속적으로 네트워크로 흘려 보내 스위치 저장 기능을 혼란시켜 더미 허브(dummy hub)처럼 작동토록하는 공격을 말한다. 테이블은 넘치면 스위치는 안전모드 대신 허브처럼(flooding) 동작하여 모든 포트로 프레임을 브로드캐스트하게 되고, 결과적으로 공격자는 다른 포트의 트래픽을 수집(스니핑) 할 수 있게 되는 것이다. 

 

 

 스위치를 직접 공격하며, MAC 테이블을 위한 캐시 공간에 버퍼 오버플로 공격을 실시하는 것과 같다. 

 

https://velog.io/@younghyun/Switch-Jamming%EC%9D%B4%EB%9E%80

 

2. SPAN(Switch Port Analyzer) 포트 태핑 공격 

 

 

SPAN(Port Mirroring) 은 스위치에서 특정 포트(또는 VLAN)의 트래픽을 복제해 모니터링 장비(IDS, 패킷 캡처 장비)로 보내는 기능이다. 공격자가 이 기능을 악용하면 정당한 모니터링 장비 대신 공격자 장비로 트래픽을 복제해 민감 트래픽을 수집 할 수 있다, 

 

 

 

 

스니핑 공격의 탐지 

 

1. ping을 이용한 스니퍼 탐지 

 

 

 

대부분 스니퍼는 일반 TCP/IP에서 동작하기 때문에 request를 받으면 response를 전달한다. 이를 이용하여 의심이 가는 호스트에 ping을 보내면 스니퍼를 탐지한다. 이때 네트워크에 존재하지 않는 MAC 주소를 위장해서 전송한다. 

 

만약 ICMP echo reply를 받으면 해당 호스트가 스니핑을 하고 있는 것이다. 

존재하지 않는 MAC 주소이므로, 정상 호스트의 경우엔 무시하지만, 프러미스큐어스 모드의 스니퍼는 응답하게 되는 것이다. 

 

 

2. ARP를 이용한 스니퍼 탐지  

 

ARP란? 

IP 주소를 MAC 주소로 변환하는 프로토콜이다. 네트워크 상에서 통신하려는 장치의 물리적 주소를 알아내기 위해 사용한다. 

 

위조된 APR request를 보냈을 때 ARP response가 오면 프러미스큐어스 모드로 설정되어있는 것이다. 따라서 스니퍼는 응답을 하게 된다. 

 

3. DNS를 이용한 스니퍼 탐지  

 

일반적인 스니핑 프로그램은 스니핑한 시스템의 IP 주소에 DNS의 이름 해석 과정인 Reverse-DNS lookup을 수행한다. 즉, 스니핑하는 시스템이 자신에게 들어오지 않았던 IP 주소에 대해 PTR 질의(DNS type 12)를 보낸다면 정상적이지 않은 행동이라고 판단 가능하다. 

 

 

1. 공격자가 스니핑 프로그램을 실행
2. 프로그램은 수신한 패킷에서 IP 주소를 수집
3. 자동으로 해당 IP들에 대해 DNS 역방향 조회를 수행
4. DNS 서버에서 이상 징후 감지 → 누가 자꾸 PTR 조회를 보내는가?

 

 

4. 유인을 이용한 스니퍼 탐지

 

가짜 아이디나 패스워드를 네트워크에 뿌려놓고 스니퍼가 이 아이디와 패스워드로 접속을 시도할 때 탐지하는 방법도 있다. 

 

 

5. ARP watch를 이용한 스니퍼 탐지  

 

ARP watch

MAC 주소와 IP 주소의 매칭 값을 초기에 저장하고 ARP 트래픽을 모니터링하여 이를 변하게 하는 패킷이 탐지되면 관리자에게 메일로 알려주는 툴 

 

초기	192.168.0.10 → MAC AA:AA:AA:AA:AA:AA
공격 발생	192.168.0.10 → MAC BB:BB:BB:BB:BB:BB
arpwatch 반응	“Changed ethernet address for 192.168.0.10” 알림 로그 생성 또는 메일 발송

 

대부분의 공격 기법은 위조된 ARP를 사용하기 때문에 쉽게 탐지할 수 있다.