Chapter 06 스니핑

01 스니핑 공격 02 스니핑 공격 툴 03 스니핑 환경에서의 스니핑 04 스니핑 공격의 대응책

스니핑 공격을 이해하고 다양한 공격 툴을 실행할 수 있다. 스위칭 환경에서의 스니핑 공격을 이해하고 실행할 수 있다. 스니핑 공격에 대한 적절한 대책을 세울 수 있다.

1. 스니핑 공격 스니핑 스니핑의 개념 1.1 스니핑에 대한 이해 sniff의 사전적 의미 : 코를 킁킁거리다(정보를 탐색) 수동적(Passive) 공격 : 공격할 때 아무것도 하지 않고 정보를 수집함 스니핑의 개념 도청(Eavesdropping)과 엿듣기가 스니핑 전화선이나 UTP에 탭핑(Tapping)해서 전기 신호를 분석하여 정보를 찾아냄. 전기 신호(Emanation)을 템페스트(Tempest) 장비를 이용해 분석하는 일

프러미스큐어스 모드(Promiscuous Mode) 1. 스니핑 공격 1.1 스니핑에 대한 이해 프러미스큐어스 모드(Promiscuous Mode) MAC 주소와 IP 주소에 관계없이 모든 패킷을 스니퍼에게 넘겨주는 것 리눅스나 유닉스 등의 운영체제에서는 랜 카드에 대한 모드 설정이 가능 윈도우에서는 스니핑을 위한 드라이버를 따로 설치 스니핑을 하려면 좋은 랜 카드가 필요 바이패스 모드(Bypass Mode) 패킷에 대한 분석까지 하드웨어로 구현되어 있는 랜 카드 기가바이트(GByte) 단위의 백본 망에서 스니핑을 하기 위한 장비로 고가임.

1. 스니핑 공격 실습 6-1 프러미스큐어스 모드 설정하기 랜 카드 확인하기 ifconfig

1. 스니핑 공격 프러미스큐어스 모드로 변경하기 실습 6-1 프러미스큐어스 모드 설정하기 ifconfig eth0 promisc ifconfig

2. 스니핑 공격 툴 TCP Dump 2.1 TCP Dump 리눅스에서 가장 기본이 되는, 하지만 강력한 스니핑 툴 네트워크 관리를 위해 개발되었기 때문에 관리자 느낌이 강함. TCP Dump로 획득한 증거 자료는 법적 효력이 있음.

2. 스니핑 공격 툴 TCP Dump 설치하기 TCP Dump 실행하기 (sudo) apt- get install tcpdump TCP Dump 실행하기 (sudo) tcpdump -i eth0 - xX host 192.168.0.2 -i eth0 : 패킷을 수집할 I/F xX : 수집된 패킷 값을 Hexa와 ASCII 형태로 모두 출력 host 192.168.0.2 : 수집하려는 호스트 주소

2. 스니핑 공격 툴 실습 6-2 TCP Dump로 계정과 패스워드 스니핑하기 텔넷 접속하기 telnet 192.168.0.2

2. 스니핑 공격 툴 텔넷 패킷 분석하기 실습 6-2 TCP Dump로 계정과 패스워드 스니핑하기 텔넷, FTP 등 초기 서비스들은 계정, 패스워드가 암호화되지 않은 평문으로 전달

2. 스니핑 공격 툴 실습 6-2 TCP Dump로 계정과 패스워드 스니핑하기 텔넷 패킷 분석하기

2. 스니핑 공격 툴 텔넷 패킷 분석하기 : 실습 6-2 TCP Dump로 계정과 패스워드 스니핑하기 패스워드 : dideodlf

2. 스니핑 공격 툴 Fragrouter(프래그라우터) 2.2 fragrouter 스니핑을 보조해주는 툴로, 받은 패킷을 전달하는 역할 스니핑을 하거나 세션을 가로챘을 때 공격자에게 온 패킷을 정상적으로 전달 하려면 패킷 릴레이가 반드시 필요함. 리눅스에는 기본적으로 설치됨

2. 스니핑 공격 툴 DSniff(디스니프) 2.3 DSniff 스니핑을 위한 다양한 툴이 패키지로 만들어진 것 한국계 미국인으로 해커이자 정보보호기술 전문가인 미국 미시건 대학교의 송 덕준 교수가 개발 알트보어(Altvore)와 함께 대표적인 스니핑 툴로 알려져 있음. 암호화된 계정과 패스워드까지 읽어낼 수 있음. dsniff가 읽어낼 수 있는 패킷

2. 스니핑 공격 툴 2.3 DSniff DSniff(디스니프)

2. 스니핑 공격 툴 dsniff 설치하기 실습 6-3 Dsniff로 다양한 스니핑 공격하기 설치가 되어 있지 않은 경우 apt-get으로 설치 apt- get install dsniff

dsniff를 이용한 FTP와 텔넷의 패스워드 스니핑 2. 스니핑 공격 툴 실습 6-3 DSniff로 다양한 스니핑 공격하기 dsniff를 이용한 FTP와 텔넷의 패스워드 스니핑 클라이언트에서 dsniff를 실행하고 다른 터미널에서 서버에 FTP와 텔넷을 이용 해 로그인하면 아이디와 패스워드가 잡힘(텔넷은 입력한 명령어도 확인 가능) dsniff

2. 스니핑 공격 툴 urlsnarf를 이용한 웹 세션 스니핑 실습 6-3 DSniff로 다양한 스니핑 공격하기 인터넷 사용자가 접속한 서버와 접속 후 입력한 내용 등의 정보를 볼 수 있음. urlsnarf

3. 스위칭 환경에서의 스니핑 스위칭 환경과 스니핑 3.1 스위칭 환경과 스니핑 스위치는 각 장비의 MAC 주소를 확인하여 포트에 할당 브로드케스팅 프레임을 제외한 모든 프레임은 목적지 MAC주소가 있는 포트로 만 전송됨 자신에게 향하지 않은 패킷 외에는 받아볼 수 없어 스니핑을 막게 됨. → 스위치가 스니핑을 막기 위해 만들어진 장비는 아니지만 결과적으로는 저지 하는 치명적인 장비가 됨. 스위치

3. 스위칭 환경에서의 스니핑 ARP 리다이렉트 3.2 ARP 리다이렉트와 ARP 스푸핑 공격자가 자신을 라우터라고 속이는 것 기본적으로 2계층 공격으로, 랜에서 공격 공격자 자신은 원래 라우터의 MAC 주소를 알고 있어야 하며, 받은 모든 패킷 은 다시 라우터로 릴레이해줘야 함. ARP 스푸핑은 호스트 대 호스트 공격, ARP 리다이렉트는 랜의 모든 호스트 대 라우터라는 점 외에는 큰 차이가 없음.

공격 전에 공격 대상 시스템의 상태 정보 확인하기 3. 스위칭 환경에서의 스니핑 실습 6-4 ARP 리다이렉트 공격하기 공격 전에 공격 대상 시스템의 상태 정보 확인하기 공격 전에 MAC 주소 테이블 확인 arp -a

3. 스위칭 환경에서의 스니핑 ARP 리다이렉트 공격 수행하기 실습 6-4 ARP 리다이렉트 공격하기 패킷이 오면 세션이 끊어지지 않게 패킷을 원래 목적지로 전달하기 위해 먼저 릴레이 툴로 fragrouter 실행 fragrouter - B1 ARP 리다이렉트 공격을 수행하기 위해서 arpspoof를 사용

3. 스위칭 환경에서의 스니핑 ARP 리다이렉트 공격 수행하기 실습 6-4 ARP 리다이렉트 공격하기 arpspoof -i eth0 -t 192.168.0.100 192.168.0.1

3. 스위칭 환경에서의 스니핑 ARP 리다이렉트 공격 수행하기 실습 6-4 ARP 리다이렉트 공격하기 패킷이 공격자 시스템을 통과한 것을 fragrouter를 실행한 창에서 확인

3. 스위칭 환경에서의 스니핑 실습 6-4 ARP 리다이렉트 공격하기 ARP 리다이렉트 공격 수행의 결과 확인 arp -a

3. 스위칭 환경에서의 스니핑 ICMP 리다이렉트 3.3 ICMP 리다이렉트 공격 대상에게 패킷을 보낸 후 라우터 A에 다시 릴레이시켜 스니핑함. 3계층에서 패킷을 주고받기 때문에 랜이 아니더라도 공격이 가능 최근에는 운영체제에서 ICMP 리다이렉트를 기본적으로 차단함.

스위치 재밍(Switch Jamming) 3. 스위칭 환경에서의 스니핑 3.4 스위치 재밍 스위치 재밍(Switch Jamming) 스위치를 직접 공격 MAC 테이블을 위한 캐시 공간에 버퍼 오버플로우 공격을 실시 일부 고가의 스위치는 MAC 테이블의 캐시와 연산 장치가 사용하는 캐시가 독 립적으로 나뉘어 있어 스위치 재밍 공격이 통하지 않음.

3. 스위칭 환경에서의 스니핑 실습 6-5 macof로 스위치 재밍시키기 macof 사용법 확인하기 macof /?

3. 스위칭 환경에서의 스니핑 실습 6-5 macof로 스위치 재밍시키기 macof 사용법 확인하기 macof

SPAN(Switch Port Analyzer) 3. 스위칭 환경에서의 스니핑 3.5 SPAN 포트 태핑 SPAN(Switch Port Analyzer) 각 포트에 전송되는 데이터를 미러링하는 포트에도 똑같이 보내주는 포트 미 러링(Port Mirroring)을 이용한 것 주로 IDS를 설치할 때 많이 사용 SPAN은 주로 시스코에서 사용하는 용어며, 다른 벤더에서는 ‘Port Roving’이라 부르기도 함. 태핑 SPAN은 상당히 많은 문제점을 가져서 효과적인 모니터링을 하는데 어려움이 있는데, 이를 해결할 수 있는 것이 태핑 허브와 같이 포트를 모니터링하기 위한 장비 Splitter(스플리터)라고 부르기도 함.

4. 스니핑 공격의 대응책 능동적인 대응책 – 스니퍼 탐지 4.1 스니핑 대응책 ping을 이용한 탐지 ARP를 이용한 탐지 의심이 가는 호스트에 ping을 보낼 때 네트워크에 존재하지 않는 MAC 주소를 위장하 여 보냄. 만약 ICMP Echo Reply를 받으면 해당 호스트가 스니핑을 하고 있는 것 ARP를 이용한 탐지 위조된 ARP Request를 스니퍼임을 확인하고자 하는 시스템에 보냄. 대상 시스템이 응답으로 ARP Response를 보내면 이를 통해 프러미스큐어스 모드로 동작 중인 스니퍼임을 확인 DNS를 이용한 탐지 테스트 대상 네트워크로 Ping Sweep을 보내고 들어오는 Inverse-DNS lookup을 감시 유인을 이용한 탐지 가짜 계정과 패스워드를 뿌려 공격자가 이 가짜 정보로 접속을 시도하면, 접속을 시도 하는 시스템을 탐지

4. 스니핑 공격의 대응책 능동적인 대응책 – 스니퍼 탐지 4.1 스니핑 대응책 ARP watch를 이용한 탐지 초기에 MAC 주소와 IP 주소의 매칭 값을 저장하고 ARP 트래픽을 모니터링하여 이를 변하게 하는 패킷이 탐지되면 관리자에게 메일로 알려줌.

4. 스니핑 공격의 대응책 수동적인 대응책 – 암호화 4.1 스니핑 대응책 SSL(Secure Socket Layer) 암호화된 웹 서핑을 가능하게 함. 40비트와 128비트 암호화키가 존재(현재 우리나라 금융 거래 사이트의 대부분은 40비 트 암호화 방법을 사용) PGP, PEM, S/MIME PGP, PEM, S/MIME 모두 이메일을 전송할 때 사용하는 암호화 방법 PGP : 내용을 암호화하는 데에 IDEA, IDEA 키와 전자 서명을 암호화하는 데에 RSARivest, Shamir, Addleman 알고리즘 사용 기본적으로 ‘ Web of Trust’ 개념 사용 PEM : 공개키 암호화 표준을 따르고, CA에서 키를 관리 데이터 암호화에는 DES-EDE, 키를 위한 암호화 알고리즘에는 RSA, 전자 인증을 위한 해시 함수에는 MD2, MD5 사용 S/MIME : 이메일 표준인 MIME 형식에 암호화 서비스만을 추가한 것 PKCS를 기반으로 만들어져 있으며, 디지털 인증에 X.509를 사용

4. 스니핑 공격의 대응책 수동적인 대응책 – 암호화 4.1 스니핑 대응책 SSH(Secure Shell) 텔넷과 같은 서비스 암호화를 위해 사용하는 것 OpenSSL 라이브러리가 SSH를 지원 SSH를 이용한 암호화 프로토콜은 계속 발전하고 있으며 텔넷보다는 훨씬 더 안전 VPN(Virtual Private Network) 한 회선을 여러 회사가 공유하여 비용을 절감하려는 목적으로 개발 암호화된 트래픽 제공 VPN을 제공하는 시스템이 해킹을 당할 경우 암호화되기 이전에 데이터가 스니핑이 될 수 있음.