Sniffing, Eavesdropping, Wiretapping   엿듣기, 도청, 스니핑

(2020-04-11)

1. Sniffing / Eavesdropping / Wiretapping (도청,엿듣기)통신로 상에서 엿듣기를 통해 몰래 데이터를 획득하는 행위

  ㅇ 용어상 유의할 점 
     - [전화 통화 등]
        . 도청 또는 감청이라고하는 영문표기로는 Eavesdropping 또는 Wiretapping을 주로 사용
     - [네트워크 보안 분야]  
        . 스누핑(Snooping) 및 스니핑(Sniffing)이 거의 같은 의미를 뜻하나,
           .. 몰래 엿듣는 의미로 `스니핑`을 주로 많이 쓰고, 
           .. 합법적 청취 의미로 `스누핑`을 주로 씀


2. Sniffing(스니핑) 관련 주요 S/W 도구들  ☞ 프로토콜 분석기

  ㅇ 원래 스니핑은 네트워크를 분석하기 위한 합법적인 `패킷 캡처` 도구를 지칭하였음
     - Tcpdump, 썬社의 Snoop, NAI社의 Sniffer, Sniffit 등 Packet Sniffer라는 일련의 도구들이,
     - 물리적 선(Wire)상에 떠다니는 모든 패킷들을 캡쳐하고,
     - 이 패킷들을 디코딩(해독 분석)할 수 있음
     - 고장탐지(Troubleshooting) 및 트래픽 분석 등에 매우 유용한 도구임


3. 패킷 스니핑 보안공격에 대한 주요 방어 수단평문 패킷암호화(Encryption)
  ㅇ LAN 세그먼트를 보다 국지적으로 세분화시킴
  ㅇ 인증(Authentication)


4. 스니핑 시도시 필요한 무차별모드(Promiscuous Mode) 및 스니핑 탐지

  ㅇ 스니핑을 시도할 때는,
     - LAN 카드네트워크에 흐르는 모든 패킷을 캡쳐하도록 하는
       Promiscuous Mode 상태로 설정해야 함

     - 한편, 스위칭 허브스위치 환경하에서는, 
        . 세그먼트(포트) 간에는 트래픽을 다른 세그먼트(포트)로 전달 않토록 보안성을 강화시킴
        . 하지만, Switch Jamming, ARP Redirect, ICMP Redirect 등의 보안공격 기법을
          활용하면 다른 세그먼트 데이터도 스니핑이 가능하게됨

  ㅇ 스니핑 탐지
     - ICMP, ARP를 이용하면, 무차별 모드를 사용 중인 의심스러운 호스트는,
       실제 없는 주소에 대해서도 응답할 수 있으므로 이로써 탐지 가능


5. 스위치 환경에서 타 포트로 접속된 컴퓨터를 스니핑하는 방법포트 미러링(Port Mirroring)
     - 스위치 제어 명령어로 직접 구성시킴(스위치 제조사 마다 다름)
  ㅇ 허빙 아웃(Hubbing-out)
     - 스위치 포트와 대상 컴퓨터 사이에 더미허브를 중간 연결시켜 트래픽 스니핑
  ㅇ (Network Tap) 사용
     - 트래픽핑시킬 수 있는 전문 하드웨어 장치
  ㅇ ARP 캐시 포이즈닝(cashe poisoning)



Copyrightⓒ   차재복 (Cha Jae Bok)    " 정보통신 및 과학기술 지식을 간결하게 정리,체계화시키고 있습니다. "