Tech Juny

Network 계열 공격 - Sniifing 공격 기법 본문

보안 취약점 공격

Network 계열 공격 - Sniifing 공격 기법

태크주니 2024. 5. 12. 00:36

Sniifing


01. MAC Flooding(스위치 재밍)

  • 개념 : MAC 주소 테이블을 가득 채워 오버프로우 상태로 만들어 패킷을 브로드캐스트 하는 더미허브처럼 동작하게 만드는 공격
  • 특징
    • Source MAC 주소를 계속 변경하며 다량의 ARP 패킷을 전송하여 MAC 테이블을 채움
    • 공격자는 모든 패킷을 스니핑 할 수 있게 됨
  • 대응법
    • Static MAC 주소 관리
    • Port Security 설정

※ Port Security : 스위치의 포트 당 학습 가능한 MAC주소 수량 제한

02. ARP 스푸핑(ARP Cache Poisoning)

ARP Cache Poisoning

  • 개념 : 로컬 환경에서 위조된 ARP Reply 패킷을 만들어 대상의 ARP Cache Table를 공격자의 MAC으로 갱신하는 공격
  • 특징
    • LAN 환경에서의 스니핑 공격
    • 특정 호스트 대상
    • MAC 테이블에서 중복된 MAC 주소 확인으로 탐지
  • 대응법
    • Static MAC 주소 관리
    • ARP Table 감시 도구 sniffswitch, XArp 등 사용

03. ARP Redirect

ARP Redirect

  • 개념 : ARP 스푸핑의 일종으로 공격자가 자신이 G/W인 것처럼 MAC 주소를 위조하여 해당 LAN의 G/W MAC이 공격자의 MAC으로 변경되는 공격
  • 특징
    • 내부 → 외부 통신 패킷 스니핑 공격
    • ARP 스푸핑과 차이점은 브로드캐스트를 활용하여 LAN 상의 모든 호스트 대 라우터 공격
    • 대상들이 스니핑을 인식하지 못하도록 패킷 릴레이 동작(IP Forward 기능 활성화)
  • 대응법
    • Static MAC 주소 관리
    • ARP Table 감시 도구 sniffswitch, XArp 등 사용

04. SPAN(Port Mirroring)

Port Mirroring

  • 개념 : 모든 트래픽을 볼 수 있는 기능으로 다른 포트의 트래픽을 복사해주는 기술을 공격자가 악용하여 스니핑

05. ICMP Redirect

  • 개념 : 공격자가 패킷의 라우팅 경로를 자신의 주소로 위조한 ICMP Redirect 메시지를 생성하여 대상의 라우팅 테이블 변조 후 스니핑
  • 특징
    • 대상들이 스니핑을 인식하지 못하도록 패킷 릴레이 동작(IP Forward 기능 활성화)
  • 대응법
    • ICMP Redirect 패킷 차단 설정
    • Static 라우팅 테이블 관리
Comments