[보안] 스니핑(Sniffing)과 ARP스푸핑, IP스푸핑

스니핑(Sniffing)이란, 사전적 의미로는 '코를 킁킁거리다' 입니다.

스니핑은 드라마에서 주인공이 문앞에서 다른이의 대화를 엿듣는 것과 같은 '수동적 공격' 입니다.

스니퍼는, 네트워크 패킷을 감시하고 분석하는 침입자 프로그램입니다.

스니핑은 침입자가 스니퍼를 설치한 이후,  네트워크에 별다른 이상현상을 일으키지 않기 때문에 알아차리기 어렵습니다.

따라서 비밀번호가 없는 무선 WIFI 이용은 위험합니다.

 

스푸핑(Spoofing)이란, 사전적인 의미로는 '속이다'입니다. 스푸핑은 스니핑보다 능동적인 공격입니다.

대표적으로 ARP 스푸핑, IP 스푸핑이 있습니다.

ARP(Address Resolution Protocol)은 IP주소로 MAC주소를 찾는 프로토콜입니다.

 

ARP 스푸핑이란, MAC주소를 속여 랜에서의 통신 흐름을 왜곡시키는 것입니다.

OSI 7계층 중 2계층인 데이터 링크 계층에서 작동합니다.

ARP 스푸핑의 흐름은 다음과 같습니다.

 

 

1) 공격자가

클라이언트에게 10.0.0.2에 해당하는 가짜 MAC주소 CC 를, 서버에게 10.0.0.3에 해당하는 해당하는 가짜 MAC주소 CC를 알립니다.

2) 그럼, 서버와 클라이언트는 공격자의 맥 주소인 CC에게 패킷을 전송하겠죠?

3) 공격자는 각자 받은 패킷을 읽은 후, 클라이언트가 서버한테 보내는 패킷을 서버한테 보내주고, 서버로부터 클라이언트에게 온 패킷을 클라이언트에게 보냅니다.

그렇다면 ARP 스푸핑의 대응책은 어떤 것이 있을까요?

 

ARP 스푸핑의 대응책

1) ARP 테이블이 변경되지 않도록 고정합니다.

MAC주소는 랜카드가 변경될때 수정합니다. 

명령어 : arp - s   IP주소  MAC주소

2) 보안 툴 사용하기 

클라이언트의 ARP 테이블의 내용이 바뀌면 경고 메시지를 전송하는 보안 툴을 사용합니다. 

 

IP 스푸핑은, Source의 IP를 다른 주소로 속이는 것입니다.

IP 스푸핑의 흐름은 다음과 같습니다.

1) 트러스트로 접속하고 있는 클라이언트에 Dos공격을 한다.

* 여기서 트러스트란, 시스템 접속시 자신의 IP 주소로 인증하는 시스템입니다.

따라서 로그인 없이 접속 가능합니다.

2) 클라이언트가 사용하고 있는 IP가 네트워크에 나타나지 못하도록 막는다.

3) 공격자가 해당 IP(클라이언트 IP)로 설정을 변경후 서버에 접속한다.

4) 공격자는 별도의 인증인 패스워드 없이 서버에 접속한다. 

 

IP 스푸핑의 대응책

IP 스푸핑의 대응책은 다음과 같습니다.

1) 트러스트 차단 

2) rlogin 대신 ssh를 사용합니다.

3) 트러스트된 시스템의 MAC주소를 static으로 지정합니다.