스니핑(sniffing), 스푸핑(spoofing) 개념

□ 스니핑(Sniffing)

○ 개념

- Sniffing이란 단어의 사전적 의미는 ‘코를 킁킁거리다’, ‘냄새를 맡다’ 등의 뜻이 있다.

- 사전적인 의미와 같이 해킹 기법으로서 스니핑은 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 엿듣는 것을 의미한다. 간단히 말하여 네트워크 트래픽을 도청(eavesdropping)하는 과정을 스니핑이라고 할 수 있다. 이런 스니핑을 할 수 있도록 하는 도구를 스니퍼(Sniffer)라고 하며 스니퍼를 설치하는 과정은 전화기 도청 장치를 설치하는 과정에 비유될 수 있다.

- 컴퓨터 내에서의 스니핑 공격은 일반적으로 작동하는 IP 필터링과 MAC 주소 필터링을 수행하지 않고, 랜 카드로 들어오는 전기 신호를 모두 읽어 들여 다른 이의 패킷을 관찰하여 정보를 유출시키는 것을 의미한다.

○ 스니핑 방법

- 네트워크 환경 : 프리미스큐어스(Promiscuous) 모드로 조작하여 패킷을 수신한다.

※ 프리미스큐어스(Promiscuous) :　2계층과 3계층 필터링을 해제시켜 NIC에 들어오는 정보를 모두 수신

- 스위치 환경 : ARP Redirect 조작하여 공격자를 라우터로 속이고 패킷을 수신한다.

○ 탐지 및 대응방안

- 스니퍼는 TCP/IP에서 동작한다. 의심이 가는 호스트에 ping을 보낼 때는 네트워크에 존재하지 않는 MAC 주소로 위장하여 보내어서 ICMP Echo Reply를 받으면 해당 ping을 보냈던 호스트가 스니핑을 수행 중인 것을 탐지한다.

- 스니핑을 방지하기 위해서는 ARP Table를 정적으로 구성하고, 중요 패킷을 SSL, SSH등의 암호화 프로토콜을 사용하여 암호화한다.

□ 스푸핑(Spoofing)

○ 개념

- Spoof란 단어의 사전적 의미는 ‘골탕 먹이다’, ‘속여먹다’ 이다. 즉 해커가 악용하고자 하는 호스트의 IP 어드레스를 바꾸어서 이를 통해 해킹을 하는 것을 IP 스푸핑이다.

- 네트워크 시스템에서 서로 신뢰관계에 있는 A, B 두 시스템간에는 A 시스템의 어카운트를 가지고 B 시스템을 액세스 할 수 있다. 이는 네트워크에서 신뢰관계를 형성하는 서비스가 네트워크 주소에 기반하여 이를 인증하기 때문이다.

- 이로 인해 IP 스푸핑이 가능해 진다. IP 스푸핑은 이 신뢰관계에 있는 두 시스템사이에서 해커의 호스트를 마치 하나의 신뢰관계에 있는 호스트인 것처럼 속이는 것이다.

○ 스푸핑 방법

- ARP 스푸핑 : ARP스푸핑은 2계층 MAC 주소를 공격자의 MAC 주소로 속인다.

- IP 스푸핑 : MAC의 위의 단계인 IP 주소를 속이는 방법이다. 다른 이가 사용하는 IP를 강탈해 권한을 획득하는 것이다. IP 스푸핑을 통해 Dos도 수행 가능하며 공격 대상 컴퓨터와 서버 사이의 연결된 세션을 끊을 수도 있다.

- DNS 스푸핑 : 실제 DNS 서버보다 빨리 공격 대상에게 DNS 응답 패킷을 보내 공격 대상이 잘못된 IP주소로 웹 접속을 하도록 유도하는 공격이다.

○ 탐지 및 대응방안

- 네트워크 속도 저하가 발생되는지 의심해봐야 한다.

- ARP table을 통한 MAC 주소 중복을 확인한다.

- hosts 파일을 통해 도메인 이름에 대한 IP 주소를 해석한다.

- hosts 파일에 중요 사이트의 IP 주소를 정적으로 기입한다.