정보보안기사

[정보보안기사(실기)] SECTION 04 네트워크 기본 학습 - 스니핑 공격

tnvori 2026. 4. 20. 15:56

식곤증으로 카페에서 앉은 채로 1시간 기절함. 이거 문제있는 거 아님?

뒷북 벚꽃. 용량 땜에 네이버엔 안 올라가던데 여긴 되네

10. 스니핑 공격

  1. 개요
    1. 스니핑 공격 기법에 따른 분류
      • 허브 환경
      • 스위치 환경
        • 스위치 재밍 공격 이용
        • ARP 스푸핑 공격 이용
        • ARP 리다이렉트 공격 이용
        • ICMP 리다이렉트 공격 이용
        • 스위치 Port Mirroring 설정 이용
    2. 스니핑 탐지 기법에 따른 분류
      • ping 이용
      • ARP 이용
      • DNS 이용
      • Decoy 이용
      • Arpwatch 도구 이용
    3. 스니핑 공격 대응 방안
      • 암호화 프로토콜 또는 프로그램을 사용하여 데이터 암호화
      • 허브(더미 허브)에 비해 안전한 스위치(스위칭 허브) 장비 사용
      • 스니핑 탐지 도구를 이용한 지속적인 점검
  2. 허브 환경에서의 스니핑 기법
    1. 개요
      • 허브는 유입된 신호를 장치가 연결된 모든 포트로 전달
      • 허브에 장치를 연결한 후 네트워크 인터페이스 카드(NIC)의 동작 모드를 Promiscuous Mode(무차별 모드)로 설정하면 허브를 통해 전달되는 모든 모든 프레임 스니핑 가능
    2. NIC 동작 모드
      • Non-promiscuous Mode — 유입된 프레임의 목적지 MAC 주소가 자신이 해당하는 경우에만 수신하고 나머지는 모두 폐기
      • Primiscuous Mode — 유입된 프레임의 목적지 MAC 주소와 무관하게 모든 프레임을 수신
    3. 실습
      • 리눅스 무차별 모드 설정 — ifconfig ‘인터페이스명’ promisc
      • 리눅스 NIC 동작 모드 확인
        • ifconfig ‘인터페이스명’
        • /var/log/messages
  3. 스위치 환경에서의 스니핑 기법
    1. 개요 — 기본적으로 MAC 주소 테이블을 검색하여 목적지 MAC 주소의 장치가 연결된 포트로 패킷 전달
    2. 스위치 재밍 공격을 이용한 스니핑 기법
      • 개요
        • 스위치 재밍 공격은 MAC Flooding 공격이라고도 함
        • 다수의 출발지 MAC 주소로 위조한 프레임을 생성하여 스위치의 MAC 주소 테이블을 오버플로우시켜 허브처럼 동작(Flooding)하게 함
        • 일반적으로 스위치는 장애 시 Fail Safe(Open) 정책 → 모든 장치로 프레임 전달
      • 실습
        • macof
          • dsniff 패키지에 포함된 MAC Flooding 공격을 위한 도구
          • dsniff — 네트워크 트래픽을 수집하고 분석할 수 있는 도구들의 집합
    3. ARP 스푸핑 공격을 이용한 스니핑 기법
      • 개요
        • ARP 스푸핑 공격은 ARP Cache Poisoning 공격이라고도 함
        • 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP 응답 메시지를 생성하여 희생자 호스트에 지속해서 전송하면 희생자 호스트의 ARP Cache Table에 특정 호스트의 MAC 주소가 공격자의 MAC 주소로 조작됨
        • ARP 프로토콜의 구조적 취약점 이용
          • 상대방에 대한 인증 미흡 — 수신한 ARP 응답 메시지가 올바른 상대방이 보낸 메시지인지 확인하지 않음
          • 요청하지 않은 ARP 응답 메시지에 대한 신뢰
        • APR 메시지는 로컬 네트워크에서 동작
      • 공격 절차
        • 공격자는 공격 성공 이후 IP 포워드 기능 활성화
        • 지속해서 위조 ARP 메시지 전송 — ARP 캐시 테이블에 동적으로 저장되는 정보는 일정 시간 경과 후 삭제됨
      • 대응 방안
        • MAC 주소 정보를 정적으로 설정
          • arp -s ‘IP 주소’ ‘MAC 주소’
          • 부팅 시마다 재등록
        • 네트워크상의 ARP 트래픽을 실시간으로 모니터링하는 프로그램(Arpwatch 등)을 이용하여 IP 주소에 대한 MAC 주소의 변경 여부 감시
          • Arpwatch — 초기 IP 주소와 MAC 주소의 매칭 값을 저장한 후 ARP 트래픽을 실시간으로 모니터링하여 변화가 있는 ARP 패킷을 탐지하는 도구
    4. ARP 리다이렉트 공격을 이용한 스니핑 기법
      • 개요
        • 자신이 게이트웨이(라우터)인 것처럼 MAC 주소를 위조한 ARP 메시지를 생성하여 지속해서 브로드캐스트
        • 로컬 네트워크에 있는 모든 호스트가 외부로 전송하는 패킷을 스니핑하기 위함
      • 공격 절차
        • 공격 성공 이후 IP 포워드 기능 활성화
        • 지속해서 위조 ARP 응답 메시지 브로드캐스트
      • 대응 방안 — ARP 스푸핑 공격과 동일
    5. ICMP 리다이렉트 공격을 이용한 스니핑 기법
      • 개요
        • 특정 IP로 나가는 패킷의 라우팅 경로를 자신에게 라우팅되도록 위조한 ICMP 리다이렉션 메시지를 희생자 호스트에 전송
        • ICMP 리다이렉트 메시지 — 라우터가 이전 라우터 또는 호스트에게 라우팅 경로 정보를 재설정하도록 요청
        • 로컬 네트워크뿐만 아니라 다른 네트워크에서도 공격 가능
      • 실습
        • hping3
          • TCP/IP용 오픈 소스 패킷 생성 분석 도구
          • 다양한 프로토콜의 패킷 생성 가능
          • 네트워크 보안 장비 동작 테스트, 디도스 모의훈련 시 모의 공격 패킷 생성
      • 대응 방안
        • 운영체제(커널) 설정을 통해 ICMP 리다이렉션 메시지에 의한 라우팅 정보 변경을 허용하지 않도록 설정
          • 윈도우 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableCMPRedirect를 0으로 설정
          • 리눅스 sysctl -w net.ipv4.conf.all.accept_redirects=0
        • 방화벽 기능을 통해 ICMP 리다이렉션 메시지를 차단하도록 설정
    6. 스위치 포트 미러링(SPAN) 설정을 이용한 스니핑 기법
      • 개요
        • SPAN 설정 — 지정한 스위치 포트로 입출력되는 패킷을 모니터링 포트(SPAN 포트)로 복사해주는 설정
        • SPAN 포트 태핑 공격 — 공격자가 모니터링 포트(SPAN 포트)에 분석 장비를 연결하여 스위치 포트로 입출력되는 패킷을 스니핑하는 공격
  4. 네트워크 스니핑 탐지 기법
    1. 1ping을 이용한 스니핑 탐지 기법
      • 개요
        • 기본적으로 스니퍼가 무차별 모드로 동작한다는 점 이용
        • 스니핑이 의심스러운 호스트에 해당 네트워크에 존재하지 않는 MAC 주소로 위조한 ping 요청을 보내 응답 메시지가 오면 무차별 모드로 스니핑하는 것으로 판단
      • 실습
        • nping
          • 네트워크 패킷 생성, 응답 분석 및 응답 시간 측정을 위해 사용되는 오픈 소스 도구
          • 프로토콜 헤더를 완저히 제어 가능
    2. ARP를 이용한 스니핑 탐지 기법
      • 개요
        • 기본적으로 스니퍼가 무차별 모드로 동작한다는 점 이용
        • 스니핑이 의심스러운 호스트에 해당 네트워크에 존재하지 않는 목적지 MAC 주소로 위조한 ARP 요청 메시지를 보내 ARP 응답 메시지가 오면 무차별 모드로 스니핑하는 것으로 판단
    3. 기타 스니핑 탐지 기법
      • DNS를 이용한 스니핑 탐지 기법
        • 일반적으로 스니퍼는 사용자 편의를 위해 IP 주소를 호스트명으로 변환하기 위한 역질의를 수행
        • 네트워크의 모든 호스트에 ping 수행 후 역질의가 발생하는 호스트를 감시하여 스니핑 탐지
      • Decoy를 이용한 스니핑 탐지 기법
        • 스니핑 공격의 주요 목적 — 계정과 패스워드 획득
        • 가짜 계정과 패스워드를 네트워크에 계속 전송하여 유인한 계정을 이용해 접속을 시도하려는 호스트 탐지
      • Arpwatch 도구를 이용한 스니핑 탐지 기법
    4. 네트워크 스니핑 공격 대응 방안
      • 암호화 프로토콜 또는 프로그램을 사용하여 통신에 사용되는 모든 데이터 암호화
        • HTTPS
        • PGP, S/MIME
        • SSH
        • VPN
      • 상대적으로 네트워크 스니핑 공격에 안전한 스위치 장비 이용
      • 스니핑 탐지 도구를 이용하여 악의적인 스니핑이 발생하는지 지속해서 점검

'정보보안기사' 카테고리의 다른 글

[정보보안기사(실기)] SECTION 04 네트워크 기본 학습 - DDoS  (0) 2026.05.08
[정보보안기사(실기)] SECTION 04 네트워크 기본 학습 - 포트 스캔 기법, 서비스 거부 공격  (0) 2026.05.05
[정보보안기사(실기)] SECTION 04 네트워크 기본 학습 - UDP, 네트워크 관련 기술, 네트워크 관리 명령어  (1) 2026.04.19
[정보보안기사(실기)] SECTION 04 네트워크 기본 학습 - ICMP, TCP  (1) 2026.04.17
[정보보안기사(실기)] SECTION 04 네트워크 기본 학습 (2)  (1) 2026.04.16

'정보보안기사'의 다른글

  • 현재글[정보보안기사(실기)] SECTION 04 네트워크 기본 학습 - 스니핑 공격

관련글

티스토리툴바