1. Sniffing / Eavesdropping / Wiretapping (도청,엿듣기)
ㅇ 통신로 상에서 엿듣기를 통해 몰래 데이터를 획득하는 행위
ㅇ 용어상 유의할 점
- [전화 통화 등]
. 도청 또는 감청이라고하는 영문표기로는 Eavesdropping 또는 Wiretapping을 주로 사용
- [네트워크 보안 분야]
. 스누핑(Snooping) 및 스니핑(Sniffing)이 거의 같은 의미를 뜻하나,
.. 몰래 엿듣는 의미로는, `스니핑`을 주로 많이 쓰고,
.. 합법적 청취 의미로는, `스누핑`을 주로 씀
2. Sniffing(스니핑) 관련 주요 S/W 도구들 ☞ 프로토콜 분석기
ㅇ 원래 스니핑은 네트워크를 분석하기 위한 합법적인 `패킷 캡처` 도구를 지칭하였음
- Tcpdump, 썬社의 Snoop, NAI社의 Sniffer, Sniffit 등 Packet Sniffer라는 일련의 도구들이,
- 물리적 선(Wire)상에 떠다니는 모든 패킷들을 캡쳐하고,
- 이 패킷들을 디코딩(해독 분석)할 수 있음
- 고장탐지(Troubleshooting) 및 트래픽 분석 등에 매우 유용한 도구임
3. 패킷 스니핑 보안공격에 대한 주요 방어 수단
ㅇ 평문 패킷의 암호화(Encryption)
ㅇ LAN 세그먼트를 보다 국지적으로 세분화시킴
ㅇ 인증(Authentication)
4. 스니핑 시도시 필요한 무차별모드(Promiscuous Mode) 및 스니핑 탐지
ㅇ 스니핑을 시도할 때는,
- LAN 카드를 네트워크에 흐르는 모든 패킷을 캡쳐하도록 하는
Promiscuous Mode 상태로 설정해야 함
- 한편, 스위칭 허브 등 스위치 환경하에서는,
. 세그먼트(포트) 간에는 트래픽을 다른 세그먼트(포트)로 전달 않토록 보안성을 강화시킴
. 하지만, Switch Jamming, ARP Redirect, ICMP Redirect 등의 보안공격 기법을
활용하면 다른 세그먼트 데이터도 스니핑이 가능하게됨
ㅇ 스니핑 탐지
- ICMP, ARP를 이용하면, 무차별 모드를 사용 중인 의심스러운 호스트는,
실제 없는 주소에 대해서도 응답할 수 있으므로 이로써 탐지 가능
5. 스위치 환경에서 타 포트로 접속된 컴퓨터를 스니핑하는 방법
ㅇ 포트 미러링 (Port Mirroring)
- 스위치 제어 명령어로 직접 구성시킴 (단, 스위치 제조사 마다 명령 체계 다름)
ㅇ 허빙 아웃 (Hubbing-out)
- 스위치 포트와 대상 컴퓨터 사이에 더미허브를 중간 연결시켜 트래픽 스니핑
ㅇ 탭 (Network Tap) 사용
- 트래픽을 탭핑시킬 수 있는 전문 하드웨어 장치를 씀
ㅇ ARP 캐시 포이즈닝 (cashe poisoning)