해봐

모의 해킹 해봐~/Network 기반 해봐~

Sniffing

Alias._.B 2023. 11. 27.

Sniffing 개념

   • 통신 경로상에서 정보를 엿듣거나 훔쳐보는 행위

      ⸰ 도청(eavesdrop): 타인의 통신 내용을 동의 없이 청취 or 녹음하는 행위

      ⸰ 와이어태핑(wiretapping): 기계적인 방법을 이용하여 데이터를 도청하는 행위

      ⸰ 템페스트(tempest): 하드웨어에서 발생하는 미세한 전자파를 이용하는 도청 행위

 

Sniffig 공격조건

   1. 미디어 공유

      ⸰ 정보를 가지고 있는 신호가 공격자 시스템까지 도달 필요

      ⸰ HUB환경: 피해자와 공격자가 같은 Collision Domain에 위치 필요

      ⸰ Switch환경: 피해자의 전기적인 신호를 유도할 수 있는 추가적인 공격 필요

   2. 공격자 시스템의 NIC Promiscuous(무차별) 모드 동작

      ⸰ Frame이 NIC에서 Filtering 되는 것을 방지해야 함

 

   * NIC(Network Interface Card) Mode

      ⸰ Bypass mode

            ‣ NIC의 기본 동작모드

            ‣ Filtering 동작 모드: 목적지 주소가 자신 or Broadcast인 데이터만 Accept

      ⸰ Promiscuous mode

            ‣ Filtering 해제 모드: 목적지 주소와 상관없이 NIC에 도달한 모든 데이터 Accept

            ‣ Software를 이용한 Promiscuous mode 활성화 필요

            ‣ 프로그램

               - Windows: winpcap

               - Linux: libpcap, ifconfig

            ‣ Promiscuous mode 사용 시 root 권한 필요

            ‣ Promiscuous mode  설정/해제(Linux)

               - 설정: ifconfig <인터페이스 이름> promisc

               - 해제: ifconfig <인터페이스 이름> -promisc

 

   3. 공격자 시스템에서 Sniffer 프로그램 사용

      ⸰ NIC에서 Frame을 받아들여도 상위계층(IP)에서 Filtering 하기 때문에 Sniffer를 이용하여 Frame 복제 후 처리 필요

      * Sniffer: 네트워크 트래픽을 감시하고 분석하는 프로그램(Sniffig 공격수행 Tools / Sniffing 된 데이터 확인 Tools)

   4. Sniffing할 데이터는 암호화 X

      ⸰ 암호화된 데이터는 Sniffing만으로는 정보 확인 불가

 

Sniffing 종류

   • Passvie Sniffing

   • Active Snffing

 

Passvie Sniffing

   • 수동적 공격, 공격자 시스템에 전달되는 전기적인 신호를 Sniffer를 이용하여 획득하는 공격

   • HUB 환경과 같이 모든 노드에 동일한 전기 신호가 복제되는 경우 수행되는 공격

      ⸰ 단순히 Sniffer만 동작시켜 지나가는 Packet 확인

Active Snffing

   • 능동적 공격, 데이터의 전달흐름을 변경하여 공격자 시스템으로 전달되도록 유도하여 수행되는 공격

   • Switch 환경과 같이 전기적인 신호가 전달되지 않는 환경에서 추가적인 공격 수행을 통해 Sniffing

      ⸰ 2계층(MAC): Switch Jamming(MAC Flooding), ARP Spoofing(=ARP Cache Poisoning)

      ⸰ 3계층(IP): ICMP Redirect, DHCP Spoofing

   • MITM(Man In The Middle) 공격 형태가 될 수 있음

 

   * 중간자 공격(MITM, Man In The Middle)

      ⸰ 공격자가 통신 경로 중간에 끼어드는 공격 형태

      ⸰ 공격 목적: Sniffing, Filtering, Injection, Spoofing 등

      ⸰ 방식

            ‣ Transparent type

               - 공격자가 통신 경로 사이에서 노출되지 않고 공격을 수행하는 방식

               - 데이터는 공격자를 경유하지만 데이터의 IP주소는 변경 X

            ‣ Proxy type

               - 공격자가 통신 경로 사이에서 노출되면서 공격을 수행하는 방식

               - IP주소를 변조하여 통신의 흐름을 공격자로 변경되게 함

'모의 해킹 해봐~ > Network 기반 해봐~' 카테고리의 다른 글

Spoofing(DHCP Attack)  (0) 2023.12.10
Spoofing(DNS Attack)  (0) 2023.12.10
Spoofing(TCP Session Hijacking)  (0) 2023.12.10
Spoofing(IP Spoofing, ICMP Spoofing)  (2) 2023.12.06
Spoofing(ARP Spoofing)  (0) 2023.11.27

댓글

티스토리툴바