스니핑 공격

 

 

스니핑 공격

일반적을 작동하는 IP 필터링과 MAC 주소 필터링을 수행하지 않고, 랜카드로 들어오는 전기 신호를 모두 읽어 들여 다른 이의 패킷을 관찰하여 정보를 유출시킨다.(네트워크 상의 데이터를 도청하는 거)

promiscuous모드를 설정하여 필터링 기능을 없애서 트래픽을 도청하는 과정이다

스니핑을 할 수 있는 도구를 스니퍼라고 함

 

스위치 재밍 

위조된 MAC 주소를 지속적으로 네트워크로 흘려보내 스위치의 주소 테이블을 가득 차게 하면 스위치는 모든 네트워크 세그먼트로 트래픽을 브로드캐스트 하게 됨, 이때 스니핑(sniffing)이 가능함

 

 

스니퍼 탐지 방법 

Ping을 이용한 방법: 자신에 해당하지 않는 ping에도 ICMP Echo Reply를 되돌려 보낸다.

ARP를 이용한 방법 : 위조된 ARP Request를 보냈을 떄 Inverse-DNS lookup을 수행한다

유인(Decoy) 방법 : 가짜 ID와 패스워드를 네트워크에 뿌리고 이를 이용하여 저속을 시도하는 공격자 시스템을 탐지한다.

ATP watch를 이용한 방법 : MAC 주소와 IP주소의 매칭 값을 초기에 저장하고 ARP 트래픽을 모니터링하여 이를 변하게 하는 ARP 패킷을 탐지한다.