스위치 환경에서의 스니핑 공격기법
1. 스위치 재밍(Switch Jamming)
- 스위치의 MAC Address Table의 버퍼를 오버플로우 시켜서 스위치가 허브처럼 브로드케스팅동작을 하게 만드는 방법.
- 스위치는 Fail Open 정책 즉 실패시에 모두 허용해주는 정책을 따르는 장비이므로 문제가 발생하면 허브처럼동작
- MAC Address Table을 채우기 위해 Source MAC주소를 계속 변경하면서 패킷을 지속적으로 전송하는 방식으로 공격.
2. ARP Spoofing
- 공격자가 특정 호스트의 MAC 주소를 자신의 MAC주소로 위조한 ARP Reply 패킷을 만들어 희생자에게 지속적으로 전송하면 희생자의 ARP Cache에 특정 호스트의 희생자에게 지속적으로 전송하면 희생자의 ARP Cache에 특정 호스트의 MAC정보가 공격자의 MAC정보로 변경이 된다. 이를 통해서 희생자로부터 특정 호스트로 나가는 패킷을 공격자가 스니핑함.
3. ARP Redirect
- 공격자가 자신이 라우터인 것처럼 MAC 주소를 위조하여 ARP Reply 패킷을 패당 네트워크에 broadcast한다. 이를 통해 해당 로컬 네트워크의 모든 호스트와 라우터 사이의 트래픽을 스니핑하고, IP Forward 기능을 통해 사용자들이 눈치 채지 못하고 하는 기법이다.
4. ICMP Redirect
- ICMP redirect메시지는 호스트-라우터 또는 라우터 간에 라우팅 경로를 재설정 하기 위해 전송하는 메시지이다.
공격자가 이를 악용하여 특정 IP 또는 대역으로 나가는 패킷의 라우팅경로를 자신의 주소로 위조한 ICMP Redirect메시지를 생성하여 희생자에게 전송함으로서 패킷을 스니핑하는 공격기법이다.
'보안 공부 > Network 보안' 카테고리의 다른 글
스니핑(sniffing), 스푸핑(spoofing) 개념 (0) | 2020.04.27 |
---|---|
FTP 상태코드에 대한 내용 설명 (0) | 2020.04.08 |
TCP, UDP 포트번호(Port Number) (0) | 2018.12.14 |