[네트워크보안개론] 스니핑 공격 및 방어 방법

스니핑 공격 및 방어 방법

● ARP 리다이렉트

- 공격자가 자신을 라우터라고 속이는 것

- 기본적으로 2계층 공격, 랜에서 공격

- 공격자 자신은 원래 라우터의 MAC 주소를 알고 있어야 하며, 받은 모든 패킷은 다시 라우터로 릴레이 

  해줘야 함.

- ARP 스푸핑은 호스트 대 호스트 공격, ARP 리다이렉트는 랜의 모든 호스트 대 라우터 라는 점 외에는 

  큰 차이가 없음

- ARP 리다이렉트 공격 결과, 클라이언트 PC의 ARP 테이블을 확인 해보면 라우터의 MAC 주소와 공격자의       MAC 주소가 겹친다.

- ARP Cache table의 내용을 static으로 설정 해주는 것이 ARP Spoofing과 Redirect 등 ARP 취약점을 이용한 

  공격을 막는 방법이다.

● ICMP 리다이렉트

- ARP 스푸핑과 비슷하지만 연결을 선택할 수 있고, 좀 더 섬세한 공격이 가능

- 공격 대상에게 패킷을 보낸 후 라우터 A에 다시 릴레이 시켜 스니핑 함.

- 3계층에서 패킷을 주고받기 때문에 랜이 아니더라도 공격 가능

- 최근에는 운영체제에서 ICMP 리다이렉트를 기본적으로 차단함.

1. 라우터 A가 호스트 A의 기본 라우터로 설정되어 있음. 그래서 호스트 A가 원격 호스트 B로 패킷을 보내      면 패킷을 라우터 A로 보냄.

2. 라우터 A는 호스트 B로 보내는 패킷을 수신하고 라우팅 테이블을 검색하여 자신보다 라우터 B를 이용하    는 것이 더 효율적이라고 판단하여 해당 패킷을 라우터 B로 보냄.

3. 라우터 A는 호스트 B로 향하는 패킷을 호스트 A가 자신에게 다시 전달하지않도록, 호스트 A에게 ICMP 

   리다이렉트 패킷을 보내어 호스트 A가 호스트 B로 보내는 패킷이 라우터 B로 바로 향하도록 함.

4. 호스트 A는 라우팅 테이블에 호스트 B에 대한 값을 추가하고, 호스트 B로 보내는 패킷을 라우터 B로 

   전달.

◎ 공격 방법은 공격자가 라우터 B가 되는 것이다.

● 스위치 재밍 (Switch Jamming)

- 스위치를 직접 공격함.

- MAC 테이블을 위한 캐시 공간에 버퍼 오버플로우 공격을 실시함.

- 일부 고가의 스위치는 MAC 테이블의 캐시와 연산 장치가 사용하는 캐시가 독립적으로 나뉘어 있어 

  스위치 재밍 공격이 통하지 않음.

◎ 과정

1. 스위치를 직접 공격.

2. MAC 테이블을 위한 캐시 공간에 버퍼 오버플로우 공격 실시.

3. 스위치는 물려있는 모든 PC에 브로드캐스팅을 하게 된다. (허브와 같아짐)

4. 공격자는 허브와 다를 바 없는 스위치 상의 모든 패킷을 스니핑함.

● ICMP Router Advertisement

- 특정 호스트가 자신이 라우터라고 다른 호스트들에게 알리는 메시지.

- 공격자는 이를 악용하여 다른 호스트들이 자신을 라우터로 생각하게 하여 패킷이 자신에게 보내지도록 함.

암호화 (PGP, PEM, S/MIME)

● PGP (Pretty Good Privacy), PEM (Privacy Enhanced Mail), S/MINE 모두 이메일을 전송할 때 사용하는 암호화      방법

● PGP : 내용을 암호화하는 데에 IDEA 방법을 쓰고, IDEA 키와 전자 서명을 암호화 하는데 RSA 알고리즘 사용

            기본적으로 'Web of Trust' 개념 사용

● PEM : 공개키 암호화 표준을 따르고, CA에서 키를 관리

   데이터 암호화에는 DES-EDE, 키를 위한 암호화 알고리즘에는 RSA, 전자 인증을 위한 해시 함수에는 

   MD2, MD5 사용

● S/MIME : 이메일 표준 MIME 형식에 암호화 서비스만을 추가한 것