스니퍼 탐지
네트워크에 별다른 이상 현상을 만들지 않기 때문에 사용자가 이를 인지하는 것이 어렵다.
네트워크 관리자나 보안 관리자라면 주기적으로 네트워크에 스니퍼가 있는지 탐색해 봐야 한다.
스니퍼가 프러미스큐어스 모드에서 작동한다.
스니퍼 대응책
(1) 핑을 이용한 방법
(2) ARP를 이용한 방법
(3) DNS 방법
(4) 유인(Decoy) 방법
(5) ARP Watch
(1) 핑을 이용한 방법
대부분의 스니퍼는 일반 TCP/IP에서 동작하기 때문에 request를 받으면 response를 전달한다.
이를 이용한 방법은 의심이 가는 호스트에 ping을 보내는데, 네트워크에 존재하지 않는 MAC 주소를 위장하여 보낸다.
만약 ICMP Echo reply를 받으면 해당 호스트가 스니핑을 하고 있는 것이다.
(2) ARP를 이용한 방법
ping과 유사한 방법으로 위조된 ARP request를
보냈을 때 ARP response가 오면
프러미스큐어스 모드로 설정되어 있는 것이다.
(3) DNS 방법
스니핑 프로그램은 스니핑한 시스템의 IP 주소에 대한
DNS 이름 해석 과정(Inverse-DNS lookup)을 수행한다.
테스트 대상 네트워크로 Ping Sweep을 보내고 들어오는 Inverse-DNS lookup을 감시하여 스니퍼를 탐지한다.
(4) 유인(Decoy) 방법
스니핑 공격을 하는 공격자의 주요 목적은
계정과 패스워드의 획득에 있다.
보안 관리자는 이점을 이용하여
가짜 계정과 패스워드를 네트워크에 뿌린다.
공격자는 이 계정과 패스워드를 이용하여 접속을 시도
이 접속을 시도하는 시스템을 탐지
(5) ARP Watch
초기에 MAC 주소와 IP 주소의 매칭 값을 저장
ARP 트래픽을 모니터링
이를 변하게 하는 패킷이 탐지되면
관리자에게 메일로 알려주는 도구.
'네트워크' 카테고리의 다른 글
int socket(int domain, int type, int protocol); (1) | 2014.03.05 |
---|---|
스위치 재밍 [Switch Jamming], SPAN 포트 태핑[SPAN] (0) | 2013.06.11 |
ICMP 리다이렉트[ICMP Redirect] (0) | 2013.06.11 |
ARP 리다이렉트[ARP Redirect] (1) | 2013.06.11 |
스니핑 공격 툴[Sniff] (0) | 2013.06.11 |