* 스니핑(Sniffing)
-> 개념
-> network 환경에서 돌아다니는 data를 몰래 도청하는 행위이다.
-> 정보자산의 기밀성을 저해한다.
-> 수동적 공격(Passive Attack)에 속한다.
-> 대응 방안
1. 암호화 기능 및 보안 프로토콜을 사용한다.
2. 스니퍼 탐지 도구를 이용한다.
[Promiscuous mode]
-> 호스트 PC는 목적지가 자신인 패킷만 받도록 Filtering하는데 이 Filtering기능을 끄고 모든 패킷을 받을 수 있는 mode이다.
-> Promiscuous mode로 설정하려면 root권한이 필요하다.
|
Promiscuous mode 설정 |
ifconfig eth0 promisc |
|
Promiscuous mode 해제 |
ifconfig eth0 -promisc |
=> Passive sniffing
-> Hub환경과 같이 모든 노드에 동일한 전기적 신호가 복제되는 경우에 단순하게 sniffer만 동작시켜 sniffing한다.
-> 호스트는 Promiscuous mode로 동작한다.
-> 단순하게 sniffer만 동작시켜서 지나가는 패킷을 본다.
-> http://itlearner.tistory.com/263 의 허브 환경을 참고한다.
=> Active sniifing
-> Switch환경에서는 패킷이 Attacker에게 전송되지 않기 때문에 의도적으로 패킷의 방향을 Attacker에게 가도록 변경하여 sniffing한다.
-> 패킷의 방향을 변경하려면 아래의 공격을 진행한다.
- ARP Spoofing : http://itlearner.tistory.com/265을 참고한다.
- ICMP Redirect : http://itlearner.tistory.com/266?category=785283을 참고한다.
- Switch Jamming : http://itlearner.tistory.com/271을 참고한다.