스니핑 공격 & 스푸핑 공격

스니핑 공격 & 스푸핑 공격

 

스니핑 공격은 스니퍼를 이용하여 네트워크상의 데이터를 도청하는 행위를 말한다. 스니퍼란 컴퓨터 네트워크상에 흘러 다니는 트래픽을 엿듣는 도청장치라고 할 수 있다. 스니핑 공격을 수동적 공격이라고 말하는데 공격할 때 아무 것도 하지 않고 조용히 있는 것만으로도 충분하기 때문이다. 드라마에서 주인공이 문 앞에서 다른 이의 대화를 엿듣는 것이나 도청하는 것 역시 스니핑 공격의 일종이다. 컴퓨터 내에서의 스니핑 공격은 일반적으로 작동하는 IP 필터링과 MAC 주소 필터링을 수행하지 않고, 랜 카드로 들어오는 전기 신호를 모두 읽어 들여 다른 이의 패킷을 관찰하여 정보를 유출시키는 것을 의미한다.

LAN 상에서 개별 호스트를 구별하기 위한 방법으로 이더넷 인터페이스는 MAC 주소를 갖게 되며, 모든 이더넷 인터페이스의 MAC 주소는 서로 다른 값을 가진다. 따라서 로컬 네트워크상에서 각 호스트는 유일하게 구별이 가능하다. 이더넷은 로컬 네트워크 내의 모든 호스트가 같은 선을 공유하도록 되어 있는데 이로 인해 같은 네트워크내의 컴퓨터는 다른 컴퓨터가 통신하는 모든 트래픽을 볼 수 있다. 하지만 이더넷 인터페이스는 자신의 MAC 주소를 갖지 않는 트래픽을 무시하는 필터링을 가진다. 하지만 스니핑 공격은 필터링을 무시하고 모든 트래픽을 볼 수 있는 promiscuous 모드를 설정하여 트래픽을 도청하는 방식을 취한다.

MAC 주소가 다를 경우 필터에 의해 트래픽이 필터링 된다.

스니핑 공격으로 트래픽 필터링 기능 없어져 도청이 되고 있다.

스니핑에 대한 대책은 많지 않다. 스니핑 공격이 수동적 공격이라고 하는 것만큼 네트워크에 별다른 이상을 만들지 않기 때문이다. 대표적인 스니퍼 탐지 방법으로 Ping을 이용한 스니퍼 탐지가 있다. 대부분의 스니퍼는 일반 TCP/IP에서 동작하기 때문에 Request를 받으면 Response를 전달한다. 이를 이용하여 의심이 가는 호스트에 네트워크에 존재하지 않는 MAC 주소로 위장하여 ping을 보낸다. 만약 ICMP Echo Reply를 받으면 해당 호스트는 스니핑을 하고 있는 것으로 판단 될 수 있는 것이다.

 

스푸핑 공격은 외부 악의적 네트워크 침입자가 임의로 웹사이트를 구성하여 일반 사용자들의 방문을 유도해 인터넷 프로토콜인 TCP/IP의 구조적 결함을 이용하여 사용자의 시스템 권한을 획득한 뒤 정보를 빼가는 해킹 방법이다. 스푸핑 공격의 종류에는 ARP 스푸핑, IP 스푸핑, DNS 스푸핑, 이메일 스푸핑 등이 존재한다.

ARP 스푸핑은 근거리 통신망 하에서 주소 결정 프로토콜 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다. 로컬에서 통신하고 있는 서버와 클라이언트의 IP 주소에 대한 2계층 MAC 주소를 공격자의 MAC 주소로 속임으로써 클라이언트에서 서버로 가는 패킷이나, 서버에서 클라이언트로 가는 패킷이 공격자에게 향하게 하여 랜의 통신 흐름을 왜곡시키는 방법이다.

IP 스푸핑은 MAC의 위의 단계인 IP 주소를 속이는 방법이다. 다른 이가 사용하는 IP를 강탈해 권한을 획득하는 것이다. IP 스푸핑을 통해 Dos도 수행 가능하며 공격 대상 컴퓨터와 서버 사이의 연결된 세션을 끊을 수도 있다.

DNS 스푸핑은 실제 DNS 서버보다 빨리 공격 대상에게 DNS 응답 패킷을 보내 공격 대상이 잘못된 IP주소로 웹 접속을 하도록 유도하는 공격이다. 공격 대상은 사이트 주소를 입력하고 엔터키를 누른 뒤, 접속하던 사이트와 똑같은 것을 보고 당연히 정상적으로 접속을 했다고 생각할 것이다. 그리고 ID와 패스워드를 입력하게 되면 이에 대한 정보가 해커에게 들어가게 된다.

출처 - 네이버 지식백과 - 정보 보안 개론 [스니핑 공격, 스푸핑 공격]