[IT] Sniffing

Sniffing ( 스니핑 )

사전적인 의미로 스니핑 ( Sniffing ) 이란 '코를 킁킁거리다', '냄새를 맡다' 등의 뜻이 있다.

사전적인 의미와 같이 해킹 기법으로서

스니핑은 네트워크 상에서 자신이 아닌 다른 상대방들이 패킷교환을 엿듣는 것을 의미한다.

간단히 말하여 네트워크 트래픽을 도청하는 과정을 스니핑이라고 할 수 있다.

스니핑 공격은 공격 대상에게 직접적으로 공격을 하지 않고 데이터만 몰래 들여다 보는 수동적 공격기법이다.

간단히 스니핑 공격의 원리를 설명하면,

네트워크에서 송수신되는 많은 데이터 중 본인에게 맞는 데이터만 보기 위해서 데이터 링크와 네트워크 레이어에서

필터링을 하고 있다.

MAC 주소와 IP 주소를 확인해서 내 호스트와 맞지 않는 정보는 위 레이어까지 전달하지 않고 아래에서 필터링 하게 되는 것이다.

이 필터링을 만약 해제하게 된다면 필터링 되지 않고 위 레이어까지 모든 정보들이 전달되고

확인이 가능 할 것 같다.

랜 카드에는 프로미스큐어스 ( Promiscuous ) 모드를 지원한다. 이 모드를 이용해서 필터링을 해제할 수 있다.

스니핑 공격 방법

스위치 재밍 공격

ARP Redirect

ARP Redirect

SPAN 포트 태핑 ( Port mirroring )

ICMP Redirect

Ping 을 이용한 스니퍼 탐지

ARP 를 이용한 탐지

DNS 를 이용한 탐지

유인을 이용한 스니퍼 탐지

ARP watch 를 이용한 탐지

+ References

http://sonseungha.tistory.com/485

http://dolma.tistory.com/27

https://tip.daum.net/openknow/3731693