스니핑
- 네트워크 트래픽을 도청하는 해킹 기법. 몰래 도청만 하므로 피해 여부를 인지하거나 탐지하기 어렵다.
- 스위치 환경에서 스니핑을 하기 위해서는 스위치에 선행 공격이 필요하다.
Switch Jamming
1. 스위치는 MAC 주소 테이블을 가지고 있으며, 주소를 저장한다. (A PC, B PC, C PC, ...)
2. 공격자가 스위치에 임의의 MAC 주소를 포함한 패킷을 지속적으로 전송한다.
3. 스위치에는 대량의 주소가 등록되어 더 이상 패킷을 전달할 수 없다.
4. 스위치의 버퍼가 오버플로우 돼서 더미 허브처럼 모든 대상에게 데이터를 전송하는 브로드캐스트를 수행한다.
5. 공격자는 패킷을 받아 어떤 통신을 수행하는지 엿볼 수 있다.
| 스위치 | L2 계층. MAC 주소 기반 데이터 전송 | MAC 주소를 알고 있다면 해당 유저에게만 패킷을 정확히 Forwarding 한다. 트래픽이 많이 발생하지 않는다. |
| 허브 | L1 계층. 데이터 전송 | 통신하고자 하는 모든 대상에게 패킷을 전달한다. |
ARP Spoofing
- 공격자가 통신 대상인 것처럼 MAC 주소를 위조하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법
| A PC | 1.1.1.1 | AA:AA:AA:AA:AA:AA |
| B PC | 1.1.1.2 | BB:BB:BB:BB:BB:BB |
| 공격자 IP | 1.1.1.3 | CC:CC:CC:CC:CC:CC |
1. A PC는 B PC에게 패킷을 전송한다. 이때 웹 사이트 접속, ICMP 패킷 전송, SSH 전송 등 어떤 목적이든 상관 없다.
2. 공격자가 동일한 LAN(WIFI, 유선 LAN)에 접속하여 방화벽 혹은 라우터 IP/MAC 주소를 확인한다.
-> nmap, arp -a
3. 공격자가 자신의 MAC 주소를 라우터 및 피해자의 MAC 주소로 속인다.
4. A PC가 B PC에게 패킷을 보낼 때, 라우터나 방화벽 NIC에 할당된 주소를 기반으로 B PC와 통신해야 한다.
이때 해당 패킷들이 공격자에게 흘러 들어간다.
5. 공격자는 해당 패킷을 확인하도 B PC에 전송할 수 있다.
6. A PC는 중간에 패킷을 가로챈 사실을 모르고, 통신을 정상적으로 수행하기 때문에 의문을 가지지 않는다.
ARP Redirect
- 공격자가 라우터인 것처럼 MAC 주소를 위조하여 데이터 패킷을 중간에서 가로채는 중간자 공격 기법
ICMP Redirect
- ICMP 리다이렉트 메시지를 이용하여 라우팅 경로를 재설정하도록 하여 데이터 패킷을 가로채는 공격 기법
1. PC 1(192.168.1.10)이 인터넷으로 나가려는 패킷을 게이트웨이(192.168.1.1)로 전송
2. 게이트웨이가 확인해 보니, 더 좋은 경로(192.168.1.2)가 있어서 해당 경로를 통해 나가야하는 것을 인지한다.
3. 게이트웨이가 PC에게 ICMP 리다이렉트 메시지를 보낸다.
"인터넷으로 가려면 192.168.1.2를 통해 나가자!"
4. PC가 해당 메시지를 신뢰하고, 다음부터는 192.168.1.2를 기본 경로로 사용한다.
5. 결과적으로 네트워크 경로가 잘못된 곳을 경유하는 것으로 최적화된다.
요약: 공격자가 가짜 라우터라고 속이기 위해 가짜 ICMP 리다이렉트 메시지를 전송한다. PC가 이 패킷을 신뢰하게 되면 모든 인터넷 트래픽은 공격자를 거친 뒤 인터넷으로 전송된다.
'Study > Network' 카테고리의 다른 글
| [네트워크] APR Spoofing (0) | 2026.04.26 |
|---|---|
| [네트워크] ARP 프로토콜 (0) | 2026.03.07 |
| [네트워크] 포트 스캐닝 (0) | 2026.03.06 |
| [스캐닝] 활성 시스템 스캐닝 (0) | 2026.03.06 |
| [네트워크 보안] DMZ (0) | 2026.02.21 |