스니핑 (수동적 공격) : 도청, 엿듣기 등 전화선이나 UPT에 탭핑해서 전기 신호를 분석하여 정보를 찾아냄 전기 신호를 템페스트 장비를 이용해 분석하는 일 프러미스큐어스 모드 : MAC 주소와 IP 주소에 관계없이 모든 패킷을 스니퍼에게 넘겨주는 것 바이패스 모드 : 패킷에 대한 분석까지 하드웨어로 구현되어 있는 랜 카드 가격에 따른 랜 카드의 차이 ①MAC주소 값의 고유성 ②버퍼 차이 ③특정 연산을 위한 연산 장치 유무 스니핑 준비 ifconfig eth0 promisc : 프러미스큐어스 모드로 변경 (리눅스, 유닉스) (위 명령 실행 후)ifconfig => flag=4419 스니핑 공격 툴 tcp dump 툴 : 리눅스에서 가장 기본이 되며 강력한 스니핑 툴, 만들어질 때 네트워크 관리 목적을 가지고 개발되었기 때문에 관리자 느낌이 강함 TCP Dump로 획득한 증거 자료는 법적 효력이 있음 ----------------------------------------------------- 실습 클라이언트 운영체제(tcpdump 실행) 클라이언트 운영체제(telnet client 실행) 서버 운영체제(telnet 서버 실행) 윈도우서버2012 telnet서버(ip주소 확인) 칼리리눅스가 telnet 클라이언트 -> telnet 서버로 접속 칼리리눅스 터미널에서 telnet 윈도우서버주소 ----------------------------------------------------- tcodump -i eth0 -xX host 서버주소 : 서버주소로 가는 패킷만 기록 시작이 현재 명령어를 수행하는 네트워크 카드가 아닌 모든 패킷을 다 기록할 것 (기록되는 패킷의 종류) 현재 시스템이 서버로 보내는 패킷 게이트웨이를 통해 들오와 서버로 보내지는 패킷 넷바이오스 형태의 패킷 기록된 패킷을 분석하면 전송 데이터의 평문을 확인할 수 있음. tip. 초기 텔넷은 전송되는 데이터가 평문 상태로 전송됨 tcpdump를 이용하면 평문을 바로 확인가능 현재 telnet은 암호문으로 전송(윈도우는 더 강력한 암호를 사용) fragrouter : 스니핑 보조 툴, 받은 패킷을 전달하는 역할 fragrouter -B1 192.168.111.200 = 수집한 패킷을 192.168.111.200으로 전달할 것 Dsniff : tcpdump의 패킷 분석 필요 없이 바로 패킷을 가로채서 평문을 돌려줌 설치 필요 시 : apt-get install dsniff macof : MAC 테이블을 변조할 수 있는 툴 (Dsniff에 포함되어 있는 툴) urlsnarf : 사용자가 인터넷 접속 후 데이터를 보내면 해당 데이터를 기록해주는 스니핑 툴 스위칭 환경과 스니핑 : 스위치는 각 장비의 MAC 주소를 확인하여 포트에 할당 자신에게 향하지 않은 패킷 이외에는 받아볼 수 없기 때문에 스니핑을 막게 됨 => 스위치가 스니핑을 막는 목적으로 만들어진 장비는 아니지만 결과적으로는 저지하게 되는 치명적인 장비가 됨 ARP 리다이렉트 : 공격자가 자신을 라우터라고 속이는 것/ 기본적으로 2계층 공격으로, 랜에서 공격/ 공격자 자신은 원래 라우터의 MAC 주소를 알고 있어야하며, 받은 모든 패킷은 다시 라우터로 릴레이 해줘야 함 ARP 스푸핑 = 호스트 대 호스트 공격, ARP 리다이렉트 = 랜의 모든 호스트 대 라우터