Sniffing vs Spoofing vs Snooping

틀린 부분이 있다면 언제든지 댓글 남겨주세요! 

 

Sniffing, Spoofing, Snoofing, Smurfing, Parming

---

 

▶ Sniffing(passive attack): 'sniff-=코를 킁킁거리다'

네트워크 중간에서 패킷 정보를 도청하는 것. 소극적 공격(Passive Attack)으로 방어가 힘들고 공격 여부 조차도 알기가 어려움.

 

정상적인 네트워크의 필터링- 네트워크의 모든 시스템은 MAC address(L2)와 IP address(L3)를 가짐. 이를 확인하여 자신의 것과 일치하는 패킷만 저장하고 일치하지 않는 패킷은 무시함.

But, 공격자는 Promiscuous모드를 통해 target host의 2, 3계층의 필터링을 해제시킴. 

* Promiscuous모드: 2, 3계층에서 필터링을 해제하는 랜카드의 모드. (_nix OS에서는 랜카드 모드 설정이 가능.)

 

Ex)

- Switch Jamming(MAC overflow): 스위치가 허브처럼 동작. 즉 스위치 테이블을 overflow시켜 모든 포트로 브로드캐스팅. 

* 스위치: 근거리 통신망(LAN)의 기기간 통신

- ARP redirect: target host의 cache table를 변조하여 공격자가 router의 MAC주소인 척 함. 공격시 IP forwarding을 통해 모든 트래픽을 게이트웨이 및 라우터로 forwarding 해야 함.

- ICMP redirect: targe host의 routing table를 변조(로드밸런싱)하여 수정된 ICMP redirect 경로를 거치도록 함. ARP redirect와 마찬가지로 packet forwarding이 필요함.

- Mirroring: 스위치의 모든 포트에서 이동하는 정보를 복제해 보내주는 포트. 

 

Sniffing을 방지위한 방법 )

- 탐지(active): ping, ARP, DNS, DeCoy, ARP watch등을 이용하여 공격 탐지

- 암호화(passive): SSL, PGP, PEM, S/MIME, SSH, VPN등의 암호화 프로토콜을 사용하여 패킷을 암호화 후 송수신

- ARP table을 동적이 아닌 정적으로 구축

 

▶ Spoofing(activate attack): 'spoof=속이다'

router, IP, MAC등을 위/변조하여 승인받은 사용자인척 시스템에 접근하거나 네트워크상에서 허가된 주소로 가장하여 접근 제어를 우회해 정보를 탈취하는 공격

 

Ex)

- IP spoofing(L3): target host와 신뢰관계를 가지고 있는 host의 IP를 공격자의 IP로 속여 패킷을 보냄.

- DNS spoofing(L7): target host가 이용하는 DNS에 거짓 DNS 정보를 전송해 잘못된 주소 정보를 이용하도록 함.

* DNS spoofing을 통해 공격자가 원하는 사이트로 접속하게 해 개인정보를 수집하는 공격 = Parming

* DNS 대상의 데이터 위/변조 공격을 방지하기 위한 인터넷 표준 기술 = DNS Security Extensions (DNSSEC)

   이를 이용하여 parming(cache poisioning, fishing, DDosS 등 방지 가능.

- ARP spoofing: MAC 주소를 공격자의 주소로 속여 랜에서의 통신 흐름을 왜곡시키는 것. MAC을 알아내기 위해 ARP를 전송함. ARP는 응답을 보낸 사람이 누구인지 검증할 수가 없음. 

* 스위치 환경에서 이 공격을 통해 MITM공격이 가능(근거리상)

- email spoofing(L7): 메일 발신자로 위장하여 보냄.

- Web spoofing(L7): 공격자가 중간에서 웹 페이지 내용을 가로채 바꿔서 보냄.

 

 

▶ Snooping(passive attack): 'snoop=기웃거리다'

네트워크 상에 떠도는 정보를 몰래 획득하는 공격

 

▶ Smurfing 

고성능 컴퓨터로 많은 양의 접속신호를 한 사이트에 집중적으로 보내 상대 컴퓨터의 서버를 마비시키는 공격.

smurf 공격은 ICMP Flooding 기법을 이용한 DoS 공격의 일종으로 Broadcast address 주소의 동작특성과 IP Spoofing 기법을 악용한 방법.