Chapter 14. 스니핑 황 선 환 , 이 주 영
스니핑 공격이란 ‘sniff’는 사전에서 찾아보면 ’코를 킁킁거리다‘라는 의미다. 스니핑 공격을 수동적(Passive) 공격이라고도 말한다. 랜에서 스니핑은 프러미스큐어스(Promiscuous) 모드에서 작동한다.
랜 인터페이스를 프러미스큐어스 모드로 전환하기 Ifconfig eth0 promisc 명령으로 eth0장치를 프러미스큐어스 모드로 바꾼다.
스니핑 공격 툴 TCP Dump Fragrouter Dsniff Sniffer Pro(윈도우용) 가장 일반적인 스니핑 툴 받은 패킷을 릴레이해주기 위한 툴 Dsniff 스니핑을 위한 자동화 툴 Sniffer Pro(윈도우용) 네트워크 상태를 점검하거나 패킷의 통계를 내기 위한 목적으로 사용
스니핑 공격 툴 TCP Dump 관리자적인 느낌이 강한 스니퍼다. 네트워크 관리를 위해 개발된 툴이다.
TCP Dump를 이용하여 계정과 패스워드 스니핑하기 TCP Dump 소스를 압축에서 풀고 ./configure를 입력한다.
TCP Dump를 이용하여 계정과 패스워드 스니핑하기 오브젝트 코드를 만들기 위해 make를 입력하고, make install로 컴퓨터에 인스톨한다.
스니핑 공격 툴 TCP Dump
스니핑 공격 툴 Telnet 계정 ID의 경우
스니핑 공격 툴 Telnet 계정 PW인 경우
스니핑 공격 툴의 실습 서버ip : 203.230.91.17 사용자 id : netsec7 Password : kiuce Root id : root Password : e408is
Fragrouter 받은 패킷을 릴레이해주기 위한 도구다. 공격대상의 세션이 끊어지면 계속 사용할 수 없게 되므로 공격자 역시 스니핑을 계속할 수는 없다.
DSniff DSniff는 스니핑을 위한 자동화 툴이다. 많은 이들이 SSL과 같은 암호화를 쓰는 통신이 안전하다고 생각하나, DSniff는 이렇게 암호화된 계정과 패스워드까지 읽어내는 능력이 있다. DSniff가 읽어낼 수 있는 패킷은 다음과 같다. ftp, telnet, http, pop, nntp, imap, snmp, ldap, rlogin, rip, ospf, pptp, ms-chap, nfs, yp/nis+, socks, x11, cvs, IRC, ATM, ICQ, PostageSQL, Citrix ICA, Symantec pcAnywhere, M.S. SQL, auth, info
Dsniff에 포함되어 있는 툴 툴 기 능 filesnarf NFS 트래픽에서 스니프한 파일을 현재 디렉토리에 저장한다. 기 능 filesnarf NFS 트래픽에서 스니프한 파일을 현재 디렉토리에 저장한다. macof 스위치를 허브와 같이 작동하게 하기 위하여 임의의 MAC 주소로 스위치의 MAC 테이블을 오버플로우(Overflow)시킨다. mailsnarf SNMP와 POP 을 스니프하여 이메일을 볼 수 있게 해준다. msgsnarf 채팅 메시지를 스니핑한다. tcpkill 탐지할 수 있는 TCP 세션을 모두 끊는다. tcpnice ICMP source quench 메시지를 보내 특정 TCP 연결을 느리게 만든다. 속도가 빠른 네트워크에서 스니프할 때 arpspoof ARP 스푸핑 공격을 실행한다. dnsspoof DNS 스푸핑 공격을 실행한다. urlsnarf CLF(Common Log Format)에서 HTTP 트래픽을 스니핑하여 선택된 URL을 알려준다.
Dsniff를 이용하여 여러가지 공격하기 Dsniff 공격 ① ②
Dsniff를 이용하여 여러가지 공격하기 TcpKill을 이용한 세션 끊기
Dsniff를 이용하여 여러가지 공격하기 Tcpnice을 이용한 트래픽 속도 느리게 만들기
Dsniff를 이용하여 여러가지 공격하기 Urlsnarf를 이용한 웹 서핑 감시 인터넷 사용자가 접속한 서버와 시간 등의 정보를 볼 수 있다.
Dsniff를 이용하여 여러가지 공격하기 mailsnarf를 이용한 메일 스니핑
Dsniff를 이용하여 여러가지 공격하기 Msgsnarf를 이용한 메신저 통신 내용 스니핑
Sniffer Pro(윈도우용) 기본적으로 스니핑이 지원되지 않으나, WinPCAP과 같은 라이브러리를 이용해서 스니핑이 가능하다. 윈도우 스니퍼는 뛰어난 GUI를 이용한 네트워크 상태를 점검하거나 패킷의 통계를 내기 위한 목적으로 많이 쓰인다.
Sniffer Pro(윈도우용) 스니퍼 프로를 이용한 프로토콜 분석
참고자료 먼저 sniffer pro는 가장많은 수의 프로토콜을 해석할수 있다 이툴은 보기에 편하며 각 패킷을 클릭하면 내용을 좀 더 자세히 볼수 있다. 단점이라면 tcp dump처럼 실시간 패킷의 수집이 가능하지 않다는 것이다. 자세한 정보를 얻으려면 패킷 캡처를 실행시켜 두고, 정지시켜야 한다. 각 시스템에서의 세션과 세션에 해당하는 패킷의 비중을 어느 정도 확인해 볼 수 있다. 허락되지 않은 세션을 확인해 보는 데 좋다. 호스트별 네트워크에 대한 점유도다 하나 이상의 시스템이 비정상적으로 많은 패킷을 보낼 때 이를 탐지할수 있다. 호스트별 프로토콜에 의한 점유도다. 호스트별 점유도보다 좀더 자세한 프로토콜의 비중을 확인할 수 힜으며, 마찬가지로 비정상적으로 급증하는 프로토콜에 대한 정보를 얻을 수 있다.
스위칭 환경에서의 스니핑 스위칭 환경에서는 기본적으로 스니핑이 어렵다. 스위치는 2계층 장비다. 2계층 네트워크에서는 원래 허브가 쓰였다. 스위치를 더미 허브와 같은 역할을 하게 만드는 방법이 있다.
ARP 스푸핑과 ARP/ICMP Redirect ARP Redirect 공격은 기본적으로 2계층 공격이며, 위조된 ARP reply 패킷을 보내는 방법을 사용한다. ARP 스푸핑은 호스트 대 호스트 공격이며, ARP Redirect는 랜의 모든 호스트 대 라우터라는 점 외에는 큰 차이가 없다.
ARP 스푸핑과 ARP/ICMP Redirect
ICMP 리다이렉트 라우터나 게이트웨이를 두 개 이상 운영하는 로드밸런싱(Load balancing) 로드밸런싱을 하는 방법은 다양하다. 라우팅 테이블에 라우팅 엔트리를 하나 더 넣어주는 방법 ICMP 리다이렉트를 사용하는 방법 ICMP 공격은 이러한 경우를 강제적으로 만들어주게 된다.
ICMP 리다이렉트 Default 라우터
ICMP Redirect 동작 원리
ICMP Redirect를 이용하여 스니핑하기 컴파일하고 난 후 실행시켜 보면 실행방법이 나온다.
ICMP Redirect를 이용하여 스니핑하기 먼저 릴레이 툴을 실행 공격 실행을 해보자
ICMP Redirect를 이용하여 스니핑하기 공격대상에 대한 TCP Dump다.
ICMP Redirect를 이용하여 스니핑하기 공격 후 공격대상의 라우팅 테이블을 확인하였다.
스위치 재밍 (Switch Jamming) 스위치 재밍은 MAC 테이블을 위한 캐시 공간에 버퍼 오버플로우 공격을 실시하는 것 MAC 테이블이 저장 용량을 넘으면 스위치는 원래의 기능을 잃게 되어 더미 허브와 똑같이 작동한다.
스위치 재밍 (Switch Jamming) Macof 공격으로 스위치를 허브처럼 작동하게 만들기.
SPAN 포트 태핑 SPAN(Switch Port Analyzer)은 포트 미러링(Port Mirroring)을 이용한 것이다. SPAN은 상당히 많은 문제점을 가지고 있어 효과적인 모니터링을 하는 데 많은 어려움이 있다. 이를 해결할 수 있는 방법이 태핑이다.
스니핑 공격의 대응책 스니퍼 탐지 네트워크에 별다른 이상 현상을 만들지 않기 때문에 사용자가 이를 인지하는 것이 어렵다. 네트워크 관리자나 보안 관리자라면 주기적으로 네트워크에 스니퍼가 있는지 탐색해 봐야 한다. 스니퍼가 프러미스큐어스 모드에서 작동한다.
스니핑 공격의 대응책 (1) 핑을 이용한 방법 (2) ARP를 이용한 방법 (3) DNS 방법 (4) 유인(Decoy) 방법 (5) ARP Watch
스니핑 공격의 대응책 (1) 핑을 이용한 방법 대부분의 스니퍼는 일반 TCP/IP에서 동작하기 때문에 request를 받으면 response를 전달한다. 이를 이용한 방법은 의심이 가는 호스트에 ping을 보내는데, 네트워크에 존재하지 않는 MAC 주소를 위장하여 보낸다. 만약 ICMP Echo reply를 받으면 해당 호스트가 스니핑을 하고 있는 것이다.
스니핑 공격의 대응책 (2) ARP를 이용한 방법 ping과 유사한 방법으로 위조된 ARP request를 보냈을 때 ARP response가 오면 프러미스큐어스 모드로 설정되어 있는 것이다.
스니핑 공격의 대응책 (3) DNS 방법 스니핑 프로그램은 스니핑한 시스템의 IP 주소에 대한 DNS 이름 해석 과정(Inverse-DNS lookup)을 수행한다. 테스트 대상 네트워크로 Ping Sweep을 보내고 들어오는 Inverse-DNS lookup을 감시하여 스니퍼를 탐지한다.
스니핑 공격의 대응책 (4) 유인(Decoy) 방법 스니핑 공격을 하는 공격자의 주요 목적은 계정과 패스워드의 획득에 있다. 보안 관리자는 이점을 이용하여 가짜 계정과 패스워드를 네트워크에 뿌린다. 공격자는 이 계정과 패스워드를 이용하여 접속을 시도 이 접속을 시도하는 시스템을 탐지
스니핑 공격의 대응책 (5) ARP Watch 초기에 MAC 주소와 IP 주소의 매칭 값을 저장 ARP 트래픽을 모니터링 이를 변하게 하는 패킷이 탐지되면 관리자에게 메일로 알려주는 도구.
스니퍼 찾기 먼저 sentinel을 실행하면 각 옵션에 대한 스니퍼를 탐지할수 있다.
스니퍼 찾기 ● 스니퍼가 설치되어 있는 경우, tcpdump의 결과
질의 및 응답. 수고하셨습니다.