int socket(int domain, int type, int protocol);

//성공시 파일디스크립터, 실패 시 -1을 리턴//

domain : 생성할 소켓이 통신을 하기 위해 사용할 프로토콜 체계(Protocol Family)를 설정한다.

type : 소켓이 데이터를 전송하는데 있어서, 사용하게 되는 전송 타입을 설정해 준다.

protocol : 두 호스트간에 통신을 하는데 있어서 특정 프로토콜을 지정 하기위해 사용된다.

1. Domain(Protocol Family)

PF_INET : IPv4 인터넷 프로토콜

PF_INET6 : IPv6 인터넷 프로토콜

PF_LOCAL : Local 통신을 위한 UNIX 프로토콜

PF_PACKET : Low level socket을 위한 인터페이스

PF_IPX : IPX 노벨 프로토콜

2. Type(소켓의 타입)

SOCK_STREAM

인터넷 기반 연결 지향 소켓(TCP 소켓)

SOCK_DGRAM

인터넷 기반 비연결 지향 소켓(UDP 소켓)

3. Protocol

IPPROTO_TCP : TCP를 기반으로 하는 소켓을 생성

IPPROTO_UDP : UDP를 기반으로 하는 소켓을 생성

예제

socket(PF_INET, SOCK_STREAM, IPPROTO_TCP);

또는

socket(PF_INET, SOCK_STREAM, 0);

스니퍼 탐지

네트워크에 별다른 이상 현상을 만들지 않기 때문에 사용자가 이를 인지하는 것이 어렵다.

네트워크 관리자나 보안 관리자라면 주기적으로 네트워크에 스니퍼가 있는지 탐색해 봐야 한다.

스니퍼가 프러미스큐어스 모드에서 작동한다.

스니퍼 대응책 

스위치 재밍(Switch Jamming)은 스위치를 직접 공격한다.

스위치 재밍은 MAC 테이블을 위한 캐시 공간에 버퍼

오버플로우 공격을 실시하는 것

MAC 테이블이 저장 용량을 넘으면 스위치는 원래의

기능을 잃게 되어 더미 허브와 똑같이 작동한다.

라우터나 게이트웨이를 두 개 이상 운영하는

로드밸런싱(Load balancing)

로드밸런싱을 하는 방법은 다양하다.

라우팅 테이블에 라우팅 엔트리를 하나 더 넣어주는 방법

ICMP 리다이렉트를 사용하는 방법

ICMP 공격은 이러한 경우를 강제적으로 만들어주게 된다.

ARP Redirect 공격은 기본적으로 2계층 공격이며,

위조된 ARP reply 패킷을 보내는 방법을 사용한다.

ARP 스푸핑은 호스트 대 호스트 공격이며,

ARP Redirect는 랜의 모든 호스트 대 라우터라는 점 외에는 큰 차이가 없다.