6. 스니핑

생성일

2022/04/18 03:57

태그

•

스니핑  

◦

수동적 공격  : 공격할 때 아무것도 하지 않아도 되며, 희생자가 공격당하고 있음을 인지하지 못함

◦

도청과 엿듣기가 스니핑

◦

전화선이나 UTP에 탭핑해서 전기 신호를 분석하여 정보를 찾아냄

◦

템페스트 장비를 이용해 전기 신호를 분석하는 일

•

혼잡 모드(프러미스큐어스 모드, Promiscuous Mode) 

◦

MAC 주소와 IP 주소에 관계없이 모든 패킷을 스니퍼에세 넘겨주는 것

◦

리눅스나 유닉스 등의 운영체제에서 랜 카드에 대한 모드 설정 가능

◦

원도우에서는 스니핑을 위한 드라이버를 따로 설치하여야 함

◦

스니핑을 하려면 처리 성능이 우수한 랜 카드가 필요함

•

바이패스 모드

◦

패킷에 대한 분석까지 하드웨어로 구현되어 있는 랜 카드(프러미스큐어스 모드의 하드웨어 버전)

◦

기가바이트 단위의 백본망에서 스니핑을 하기 위한 장비로 고가임

•

TCP dump

◦

리눅스에서 가장 기본이 되는, 강력한 스니핑 툴

◦

처음에는 네트워크 관리를 위해 개발되었기 때문에 관리자 느낌이 강함

◦

TCP dump로 흭득한 증거 자료는 법적 효력이 있음

◦

CLI 환경에서 동작하며, GUI 환경에서 동작하는 wireshark 가 있음

◦

-i device : 어느 인터페이스를 경유하는 패킷들을 수집할 지 지정한다 

◦

지정되지 않으면 시스템의 인터페이스 리스트를 뒤져서 가장 낮은 번호를 가진 인터페이스를 선택한다 

◦

-w : 캡쳐한 패킷들을 분석해서 출력하는 대신에 그대로 파일에 저장한다.

◦

-c number: 제시된 수의 패킷을 받은 후 종료한다. 

◦

-s length : 패킷들로부터 추출하는 샘플을  default 값인 68byte 이외의 값으로 설정할 때 사용한다.

•

Fragrouter

◦

공격자가 스니핑을 하거나 세션을 가로챘을 때 외부에서 공격자에게 온 패킷을 정상적으로 수신자에게 전달하려면 패킷 릴레이가 반드시 필요함

◦

스니핑을 보조해주는 툴로 , 패킷 릴레이 역할 수행 

•

Dsniff

◦

스니핑을 위한 다양한 툴이 패키지처럼 만들어진 것

•

urlsnarf 

◦

인터넷 사용자가 접속한 서버와 접속 한 후 입력한 내용 등의 정보를 볼 수 있음

•

스위칭 환경과 스니핑

◦

스위치는 각 장비의 MAC주소를 확인하여 포트에 할당

◦

자신에게 향하지 않은 패킷 외에는 받아볼 수 없어 스니핑 공격 차단

▪

스위치가 스니핑을 막기 위해 만들어진 장비는 아니지만 결과적으로는 스니핑을 막을 수 있는 가장 기본적인 장비

▪

허브는 연결된 기기 중 하나에서 전송된 패킷이 허브에 연결된 모든 기기로 브로드캐스팅 되나는 점이다. 반면 스위치는 패킷의 목적지 주소로 지정된 기기로 이어지는 포트로만 패킷이 전달된다.

◦

SPAN

▪

스위치에서 각 포트에 송수신되는 모든 데이터를 모니터링하는 미러링 포트

▪

SPAN을 이용할 경우 스위치에서도 스니핑 가능

◦

태핑

▪

스위치에서 제공하는 SPAN을 사용할 경우 처리 성능의 저하로 인해 효과적인 모니터링을 하는데 어려움이 있어 이를 해결할 수 있는 장치가 태핑

▪

허브와 같이 포트를 모니터링하기 위한 별도의 네트워크 분기 장비(스플리터 라고 부르기도함)

•

ARP란?

◦

IP 주소를 MAC 주소로 변환하는 프로토콜

•

ARP 리다이렉트 

◦

기존 라우터의 MAC 주소를 알아내어, 공격 대상에게 자신의 MAC주소가 라우터인 것처럼 속이기 위해 주기적으로 브로드캐스트한 후, 공격 대상으로부터 수신되는 패킷을 스니핑

◦

브로드캐스팅을 이용하므로, 네트워크 내 모든 호스트가 공격 대상임

•

ARP 스푸핑

◦

ARP 리다이렉트 공격과 유사하지만, 공격자가 공격대상의 ARP 테이블을 변경시켜 공격자를 통해 패킷을 보내도록 유도

•

스위치 재밍

◦

스위치를 직접 공격하는 방법

•

스니핑의 능동적인 대응책

◦

ping을 이용한 탐지 : 의심이 가는 호스트에 ping을 보낼 때 네트워크에 존재하지 않는 MAC주소로 위장하여 보냄

◦

ARP를 이용한 탐지 : 위조된 ARP request를 스니핑 중인 시스템에 보냄

◦

DNS를 이용한 탐지 : 테스트 대상 네트워크로 ping sweep을 보내고, 들어오는 Reverse-DNS lookup을 감시 

◦

유인을 이용한 탐지 : 가짜 계정과 패스워드를 뿌려 공격자가 이 가짜 정보로 접속을 시도하면, 접속을 시도하는 시스템을 탐지

◦

ARP watch를 이용한 탐지 : 초기에 MAC주소와 IP주소의 매칭 값을 저장하고 ARP 트래픽을 모니터링하여 이를 변하게 하는 패킷이 탐지되면 관리자에게 메일로 알려줌

•

스니핑의 수동적인 대응책

◦

SSL : 암호화된 웹 서핑을 가능하게 함

◦

SSH: 텔넷과 같은 서비스 암호화를 위해 사용하는 것, VPN : 한 회선을 여러 회사가 공유하여 비용을 절감하려는 목적으로 개발, 암호화된 트래픽 제공 

같은 태그의 다른 글 보기

네트워크

•

네트워크의 정의

•

네트워크의 역사

•

정보 보안의 3요소와 추가 요소

1. 네트워크와 보안

•

프로토콜이란?

•

프로토콜의 3가지 요소

•

프로토콜의 기능

•

네트워크 계층화

•

OSI 7계층

같은 태그의 다른 글 보기

2. 네트워크에 대한 이해

•

Whois

•

Whosis 서버로 얻을 수 있는 정보

•

Whois 서버 목록

•

Hosts 파일

•

DNS

•

DNS 서버의 이름 해석 순서

3. Whois와 DNS 조사

•

IP 주소 추적의 기본은 출발지 IP주소 확인

•

임의의 IP 주소와 관련된 정보 확인 사이트 : https://www.ip-tracker.org/

•

 수신된 메일의 구조

•

Received-SPF : 주요 메일 서버와 IP를 등록해두고, 메일이 전송된 서버의 IP와 메일 주소를 확인하여 스팸 메일 여부를 검사한 결과를 표시

•

메일 서버 등록제 : 메일 서버 정보를 DNS에 공개 등록함으로써 수신자로 하여금 이메일에 표시된 발송자 정보가 실제 메일서버의 정보와 일치하는 지를 확인할 수 있도록 하는 인증 기술

•

P2P 서비스

•

웹 해킹 공격

4. IP 주소 추적

•

풋 프린팅 : 발자국을 살펴보는 일, 공격 대상의 정보를 모으는 방법 중 하나

•

사회 공학 기법 : 실제로 패스워드가 노출되는 사건의 대부분이 사회 공학에 의한 것

•

해킹에 필요한 정보 

•

스캔 : 서비스를 제공하는 서버의 작동 여부와 서버가 제공하는 서비스를 확인하기 위한 작업

•

핑 : 네트워크 상으로 연결된 두 개의 시스템이 정상적으로 작동하는지 확인하기 위한 간단한 유틸리티

•

포트 스캔

•

방화벽

•

침입 탐지 시스템(Intrusion Detection System, IDS) 

•

방화벽 탐지

•

SNMP : 중앙 집중적인 관리 툴의 표준 프로토콜

5. 목록화

•

스니핑  

◦

수동적 공격  : 공격할 때 아무것도 하지 않아도 되며, 희생자가 공격당하고 있음을 인지하지 못함

◦

도청과 엿듣기가 스니핑

◦

전화선이나 UTP에 탭핑해서 전기 신호를 분석하여 정보를 찾아냄

◦

템페스트 장비를 이용해 전기 신호를 분석하는 일

•

혼잡 모드(프러미스큐어스 모드, Promiscuous Mode) 

◦

MAC 주소와 IP 주소에 관계없이 모든 패킷을 스니퍼에세 넘겨주는 것

◦

리눅스나 유닉스 등의 운영체제에서 랜 카드에 대한 모드 설정 가능

◦

원도우에서는 스니핑을 위한 드라이버를 따로 설치하여야 함

◦

스니핑을 하려면 처리 성능이 우수한 랜 카드가 필요함

•

바이패스 모드

◦

패킷에 대한 분석까지 하드웨어로 구현되어 있는 랜 카드(프러미스큐어스 모드의 하드웨어 버전)

◦

기가바이트 단위의 백본망에서 스니핑을 하기 위한 장비로 고가임

•

TCP dump

◦

리눅스에서 가장 기본이 되는, 강력한 스니핑 툴

◦

처음에는 네트워크 관리를 위해 개발되었기 때문에 관리자 느낌이 강함

◦

TCP dump로 흭득한 증거 자료는 법적 효력이 있음

◦

CLI 환경에서 동작하며, GUI 환경에서 동작하는 wireshark 가 있음

◦

-i device : 어느 인터페이스를 경유하는 패킷들을 수집할 지 지정한다 

◦

지정되지 않으면 시스템의 인터페이스 리스트를 뒤져서 가장 낮은 번호를 가진 인터페이스를 선택한다 

◦

-w : 캡쳐한 패킷들을 분석해서 출력하는 대신에 그대로 파일에 저장한다.

◦

-c number: 제시된 수의 패킷을 받은 후 종료한다. 

◦

-s length : 패킷들로부터 추출하는 샘플을  default 값인 68byte 이외의 값으로 설정할 때 사용한다.

•

Fragrouter

◦

공격자가 스니핑을 하거나 세션을 가로챘을 때 외부에서 공격자에게 온 패킷을 정상적으로 수신자에게 전달하려면 패킷 릴레이가 반드시 필요함

◦

스니핑을 보조해주는 툴로 , 패킷 릴레이 역할 수행 

•

Dsniff

◦

스니핑을 위한 다양한 툴이 패키지처럼 만들어진 것

•

urlsnarf 

◦

인터넷 사용자가 접속한 서버와 접속 한 후 입력한 내용 등의 정보를 볼 수 있음

•

스위칭 환경과 스니핑

◦

스위치는 각 장비의 MAC주소를 확인하여 포트에 할당

◦

자신에게 향하지 않은 패킷 외에는 받아볼 수 없어 스니핑 공격 차단

▪

스위치가 스니핑을 막기 위해 만들어진 장비는 아니지만 결과적으로는 스니핑을 막을 수 있는 가장 기본적인 장비

▪

허브는 연결된 기기 중 하나에서 전송된 패킷이 허브에 연결된 모든 기기로 브로드캐스팅 되나는 점이다. 반면 스위치는 패킷의 목적지 주소로 지정된 기기로 이어지는 포트로만 패킷이 전달된다.

◦

SPAN

▪

스위치에서 각 포트에 송수신되는 모든 데이터를 모니터링하는 미러링 포트

▪

SPAN을 이용할 경우 스위치에서도 스니핑 가능

◦

태핑

▪

스위치에서 제공하는 SPAN을 사용할 경우 처리 성능의 저하로 인해 효과적인 모니터링을 하는데 어려움이 있어 이를 해결할 수 있는 장치가 태핑

▪

허브와 같이 포트를 모니터링하기 위한 별도의 네트워크 분기 장비(스플리터 라고 부르기도함)

•

ARP란?

◦

IP 주소를 MAC 주소로 변환하는 프로토콜

•

ARP 리다이렉트 

◦

기존 라우터의 MAC 주소를 알아내어, 공격 대상에게 자신의 MAC주소가 라우터인 것처럼 속이기 위해 주기적으로 브로드캐스트한 후, 공격 대상으로부터 수신되는 패킷을 스니핑

◦

브로드캐스팅을 이용하므로, 네트워크 내 모든 호스트가 공격 대상임

•

ARP 스푸핑

◦

ARP 리다이렉트 공격과 유사하지만, 공격자가 공격대상의 ARP 테이블을 변경시켜 공격자를 통해 패킷을 보내도록 유도

•

스위치 재밍

◦

스위치를 직접 공격하는 방법

•

스니핑의 능동적인 대응책

◦

ping을 이용한 탐지 : 의심이 가는 호스트에 ping을 보낼 때 네트워크에 존재하지 않는 MAC주소로 위장하여 보냄

◦

ARP를 이용한 탐지 : 위조된 ARP request를 스니핑 중인 시스템에 보냄

◦

DNS를 이용한 탐지 : 테스트 대상 네트워크로 ping sweep을 보내고, 들어오는 Reverse-DNS lookup을 감시 

◦

유인을 이용한 탐지 : 가짜 계정과 패스워드를 뿌려 공격자가 이 가짜 정보로 접속을 시도하면, 접속을 시도하는 시스템을 탐지

◦

ARP watch를 이용한 탐지 : 초기에 MAC주소와 IP주소의 매칭 값을 저장하고 ARP 트래픽을 모니터링하여 이를 변하게 하는 패킷이 탐지되면 관리자에게 메일로 알려줌

•

스니핑의 수동적인 대응책

◦

SSL : 암호화된 웹 서핑을 가능하게 함

◦

SSH: 텔넷과 같은 서비스 암호화를 위해 사용하는 것, VPN : 한 회선을 여러 회사가 공유하여 비용을 절감하려는 목적으로 개발, 암호화된 트래픽 제공 

같은 태그의 다른 글 보기

6. 스니핑

•

스푸핑 : ‘속이다’는 의미

•

인터넷이나 로컬에서 존재하는 모든 연결에 스푸핑 가능

•

정보를 얻어내기 위한 중간 단계의 기술로 사용하는 것 외에 시스템을 마비시키는 데 사용할 수도 있음

•

스푸핑 공격 대비책

•

MAC 주소 확인하기 : arp -a / arp 캐시 확인

같은 태그의 다른 글 보기

7. 스푸핑

•

세션 하이재킹

•

TCP 세션 하이재킹

•

공격자가 서버와 클라이언트 사이에서 양쪽의 새로운 접속 생성하기

•

에크 스톰

•

TCP 세션 하이재킹의 보안 대책

•

MIT(Man in the middle) 공격

•

SSH(Secure Shell) 암호화 기법

•

SSH 암호화 통신에 대한 MITM 공격

•

SSL

9. 세션 하이재킹

•

무선 랜 규격 

•

IEEE 802.11 : 다중 접속

•

무선 랜 이용과 통신 범위

•

무선 랜 접속

•

WEP(Wired Equivalent Privacy)

•

WPA (Wifi Protected Access)

•

WPA2(Wi-Fi Protected Access 2)

•

WPA3(Wi-Fi Protected Access 3)

•

Wi-Fi Alliance가 제안한 운영 모드 구분

10. 무선 랜 보안

•

DoS(Denial of Service ,  서비스 거부)

•

SYN Flooding

•

Boink, Bonk, TearDrop

•

Land 

•

Smurf 공격

•

Fraggle 공격

•

7계층 Dos 공격

•

웹 어플리케이션에 대한 DoS공격 유형

•

DDoS(Distributed Denial of Service)

•

DDoS 공격에서는 중간자 역할을 하는 마스터와 에이전트가 피해자이기도 하다는 것이 폭력 조직과 다름

11. Dos와 DDos 공격

암호의 기초

•

암호(Cryptography) : 중요 정보를 다른 사람들이 해석할 수 없게 하는 방법

•

평문 : 암호화되기 전의 메시지

•

암호문 : 암호화되고 난 후 변경된 메시지

•

암호화 또는 암호화 과정 : 평문을 암호문으로 바꾸는 과정

•

암호화 알고리즘 : 어떤 방식으로 평문을 암호문으로 변경할 지 경정

•

암호화 키:암호화 키가 없는 외부인이 강제적으로 암호문을 해독하는 것을 막음

•

복호화 과정

•

복호화 : 암호문을 복호화 키를 이용하여 평문으로 바꾸는 과정

•

암호화 방식 비교

7-1 암호

•

해시

•

일방향성

•

충돌 회피

•

해시 관련 용어

•

해시 대표적인 종류

•

목적 

•

기능의 한계

•

메시지 인증 

8-2 암호를 이용한 인증

•

SSL/TLS 상의 HTTP

15. SSL,TLS

정보 보안의 3요소와 추가 요소를 작성하시오.

프로토콜의 기능 5가지와 설명을 작성하시오.

OSI 7계층을 쓰고 설명하시오.

•

1계층 : 물리계층 : 실제 장치를 연결하는데 필요한 전기적, 물리적 세부 사항을 정의

•

2계층 : 데이터 링크 계층 : 점대점 사이의 신뢰성 있는 전송을 보장하기 위한 계층

•

3계층 : 네트워크 계층 : 여러 노드를 거칠때마다 경로를 찾아주는 역할 

•

4계층 : 전송 계층 : 양 끝단 사용자들이 신뢰성 있는 데이터를 주고 받을 수 있게 하여 상위 계층이 데이터 전달의 유효성이나 효율성을 고려하지 않아도 됨

•

5계층 :  세션 계층 : 양 끝단의 응용 프로세스가 통신을 관리하기 위한 방법 제공

•

6계층 : 표현 계층 : 시스템에서 사용되는 코드간의 번역을 담당

•

7계층 :  응용 계층 : 사용자나 응용프로그램 사이에 데이터 교환을 가능하게 하는 계층

whois 서버에 대하여 설명하고, whois 서버로 얻을 수 있는 정보를 적으시오.

정리