본문 바로가기
Learning/└◆Network Hacking

Sniffing & Spoofing (스니핑과 스푸핑)

Gopzero 2016. 12. 6. 12:59

 

 

 

Sniffing & Spoofing (스니핑과 스푸핑)

 

보통의 공격은 MITM 방식을 이용한다.

*MITM 이란

Man In The Middle 공격으로 컴퓨터 네트워크 공격 방법 중 하나이다.

통신을 하고 있느 두 컴퓨터 사이에 끼어들어서 공격을 하는 방법

 

Spoofing 이해

 

Spoofing은 도용의 의미를 가지고 있다.

 

정상적인 경로

PC <----------------- Service

         (messages)

 

스푸핑으로 인한 경로

PC       (PC2)<------ Service

         (messages)

 

실제 경로로 전달되는 패킷을 중간에서 가로채는 방법.

정보를 얻어내는 것 외에도 시스템을 마비시키는 것도 가능하다.

스푸핑을 통해 패킷을 얻는 공격은 다른 공격을 하기 위한 전초작업으로 볼 수 있다.

이러한 속임을 이용한 스푸핑은 ARP스푸핑, IP스푸핑, DNS스푸핑, DHCP스푸핑 등이 있다.

 

1. MAC Spoofing

MAC 주소를 속이는 것.

MAC주소는 2계층의 주소이기 때문에 같은 LAN상에서만 가능하다.

네트워크는 PC1 에게 패킷을 전송하는 과정에서 PC1이 누군지 MAC주소를 보고 판단하는데

PC2가 PC1의 MAC주소를 가지고 있으면 네트워크는 PC2에게 전송하게 된다.

 

2. DNS Spoofing

통신을 하기 위해서는 IP주소를 사용한다.

웹 홈페이지에 접속하기 위해서는 www.daum.net와 같이 도메인주소를 입력해야 한다.

실제로 www.daum.net 으로 접속하는 것이 아닌 www.naver.com의 IP로 접속하는 것

어떠한 사이트에 들어가기 위해 DNS에게 IP를 요청하게 되고 DNS의 응답에 의해 사이트에 접속하게 되는데

DNS 요청 과정에서 실제 DNS서버로 요청하지 않고 공격자에게 요청하게 된다. 그럼 공격자에 응답으로

피싱 사이트에 접속하게 된다.

 

Sniffing 이해

 

Snifiing은 엿듣다 의 의미를 가지고 있다.

 

스푸핑의 의미가 도용 이였다면 스니핑은 도청 정도가 된다.

카페에서 옆 커플이 싸우는 것을 듣는 것도 스니핑의 일종이다.

 

1. SSL Sniffing

Secure Socket Layer의 약어로 보안에 관련된 역할을 해주는 계층을 둔다는 것

https를 사용하게 되면

클라이언트와 서버가 그 둘만의 키를 가지게 되고 아무도 열 수 없는 상자에 넣어서 정보를 주고 받는다.

SSL 스니핑은 https를 못하게 하여 데이터를 상자에 넣지 못하게 해서 도청하는 방법을 말한다.

 

정상적인 https 서비스

Client                                                                      Server

                                   http://www.facebook.com --> 80포트 요청

443포트로 응답<-- https://www.facebook.com

 

                                              https://www.facebook.com --> 443포트로 요청

443포트 응답 <-- https://www.facebook.com

 

 

공격자로 인한 스니핑 환경

 

Client --------(80포트로 요청)---->Server

공격자 <-----(443포트 응답)------

           -------(80포트 응답)------>Client

 

 

 

정의

스니핑은 이처럼 네트워크에서 상대방의 패킷을 훔쳐보는 도청 행위를 의미한다.

이러한 스니핑을 하는 도구를 스니퍼(Sniffer)라고 하고 해킹을 하고자 하는 네트워크에 존재하는 시스템에

설치되어 있어야 한다.

도청을 하고자 하는곳 어디엔가 도청장치가 설치되어야 하는 것에 비유 할 수 있다.

스니퍼는 어떤 용도로 사용하느냐에 따라서 공격용 도구가 될 수도 있고, 방어용 도구가 될 수도 있다.

 

TCP/IP는 보안과는 거리가 먼 통신규격이다.

누군가 몰래 훔쳐보던(기밀성), 데이터를 조작하던(무결성) 아무런 대책이 없다.

정보보안 3요소 중

기밀성을 해치는 공격이 스니핑이고

무결성을 해치는 공격이 스푸핑이라고 생각할 수 있다.

 

 

스니핑을 통한 데이터로 패킷 가로채기, 패킷 분석이 가능하고

이때 사용되는 도구를 스니퍼 또는 패킷 분석기 라고 한다.

 

네트워크를 통해 패킷을 획득하여 디코딩한 후 적절한 RFC나 규격에 따라 내용을 분석할 수 있다.

스니퍼 종류로는

dsniff, ettercap, fidder, capas network analyzer, wireshark 등이 있다.

 

 

저작자표시 비영리 변경금지

'Learning > └◆Network Hacking' 카테고리의 다른 글

Internet Layer ARP Spoofing [TCP/IP Model]  (0) 2016.12.06
네트워크 패킷 분석 - TCP/UDP  (0) 2016.12.06
Network Service Port (Po-rt-Number) 네트워크 서비스 포트  (0) 2016.12.05
와이어샤크(wireshark) 사용법  (0) 2016.12.04

'Learning/└◆Network Hacking' Related Articles

티스토리툴바