Sniffing
네트워크 보안에서는 송신자와 수신자가 주고받는 데이터를 중간에서 도청
network traffic을 도청하는 행위
허브환경
- 허브는 일종의 리피터 장비로 입력으로 전달받은 패킷을 나머지 모든 포트로 단순히 전달
- 자신의 mac 주소가 아닌 패킷들을 필터링
공격방법
- network 카드에서 무차별 모드로 설정
- 나의 mac 주소가 아닌 패킷도 전달 받음
스위치 환경
- mac 주소 정보를 이용하여 패킷을 해당 목적지로만 전달 -> 무차별 모드로 세팅해도 sniffing 불가능
모니터링 포트
- 스위치를 통과하는 모든 패킷의 내용을 전달하는 포트로 정상적인 관리 목적으로 사용하기 위해 network 장비 자체가 제공
- 물리적으로 스위치에 접근 가능 -> 모니터링 포트에 pc를 연결하면 모든 패킷 sniffing 가능
switch jamming
- jamming: 전파 방해
- mapping table의 최대 저장 개수보다 더 많은 정보가 추가되면 브로드캐스팅 모드로 전환
- 스위치가 마치 더미 허브처럼 동작 -> 통신 속도 저하
spoffing 기법을 사용
- spoffing: 공격자가 마치 자신이 수신자인 것처럼 위장
- ex) ARP 스푸핑
ARP redirect
- 2계층에서 동작
- 공격자가 mac 주소를 위조하여 자신이 router인 것처럼 위장 -> 모든 패킷을 볼 수 있게 됨
ICMP redirect
- 3계층에서 동작
- 라우팅 테이블 변조 -> 패킷의 흐름 변경
방지대책
암호화
VPN (가상사설망)
스위치의 정적 매핑 테이블
sniffing 탐지
ping을 이용
- 존재하지 않는 IP인데도 있는 것처럼 행동하는 시스템 존재? -> sniffing 중인 서버
ARP 이용
DNS 방법
Decoy 방법
Host 기반 탐지
Network 기반 탐지
LAB (TCP Dump)
칼리리눅스를 이용해서 스위칭 환경을 통한 스니핑 진행
준비
전 우분투 리눅스 22.04를 기준으로 실습을 진행했습니다
텔넷

tcpdump -i eth0 -xX host 192.168.0.2
칼리에 TCP Dump가 있는지 확인

예? ㅋㅋ... 울고싶다