ㅇ ㅂㅇ
스니핑 공격 원리와 대처 방법
> 스니핑(Sniffing) 공격
- 네트워크 상에서 다른 호스트들의 패킷 교환을 엿들어 정보를 수집하는 것
- 스니핑 원리
-- 호스트의 NIC의 모드를 Promiscuous 모드로 바꾼 뒤 동작 시키면 같은 네트워크 상의 모든 트래픽을 다 받아 들여 스니핑이 가능해짐
- Passive Sniffing
-- Hub로 연결된 네트워크에서는 Hub가 Flooding 하므로 NIC 만 Promiscuous로 바꾸면 스니핑이 가능함
- Active Sniffing
-- Switch의 경우에는 따로 공격을 통해 Flooding 하게 만들어야 가능
-- Flooding 하게 만드는 것이 아니라, MITM(Man In The Middle Attack ; 중간자 공격) 형태로 만들어야 함
--- Switch Jamming
--- ARP Spoofing(ARP Cache Poisoning)
--- ICMP Redirect : Router에게 올바른 경로를 알려주는 용도이지만 악용하여 자기 자신(공격자)에게 오도록 경로를 수정하여 패킷을 염탐함
- 스니핑 공격의 대응
-- Switching 환경으로 네트워크를 설계함
-- ARP Cache Table을 정적으로 운영
-- 데이터의 암호화 : SSL / PGP, S/MIME / SSH / VPN / IPsec
※ MITM(Man In The Middle ; 중간자 공격)Attack
- 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법
- 통신을 연결하는 두 사람 사이에 중간자(공격자)가 침입하여, 두 사람은 상대방과 연결되었다고 생각하지만, 실제로는 중간자에게 연결되어 중간자가 한쪽에서 전달된 정보를 도청 및 조작 후 다른 쪽으로 전달
- 개선 방법
-- 인증을 통해 중간자 공격을 막음
-- TLS/SSL 프로토콜은 공개 키 기반으로 한 인증을 사용
-- 강력한 상호 인증(비밀번호, 암호키) 사용
-- 대기 시간 점검(보통 20초 걸리는 데, 그 이상 걸리는 경우 제 3자의 Sniffing이 예상 됨)
-- one-time pads는 중간자 공격에 면역되어 있음
-- 양자암호(Quantum Ctyptography)
--- 양자의 역학적 특성을 이용한 암호화 기술로 비공개 채널으로 키를 주고 받고 공개적인 채널으로 암호문을 보내는 방법.
--- 공격자가 키를 읽기 위해 펄스를 측정하는 순간 펄스가 변화되어 데이터가 무용지물이 되며, 수신자는 이러한 변화를 통해 해커의 공격 시도를 알 수 있어 데이터를 폐기하고 새로운 키를 재송신 받아 도청 없는 통신이 가능함
- 공격 방법 예시
-- A와 B가 통신을 하려는 상황에 C가 그 사이에 끼어 메시지를 중간에 도청 및 조작 후 서로에게 전달
1) A가 B에게 암호키를 요청 -> C에게 해당 내용 전달
2) C가 B에게 암호키 요청 -> B에게 해당 내용 전달
3) B가 C에게 암호키를 전달 -> C가 해당 내용 받음
4) C가 A에게 C의 암호키를 B의 암호키라고 속여 전달 -> A는 B의 암호키(실제 C의 암호키)를 전달 받음
5) A가 B에게 받은 암호키로 암호화 하여 메시지 전달 -> C가 해당 내용 받음
6) C는 A의 메시지를 해독 후 그대로 B에게 전달하거나, 내용을 변경 후 B에게 전달
댓글 없음:
댓글 쓰기