'유인 방법'에 해당되는 글 1건

  1. 2013.06.11 스니퍼 탐지, 스니퍼 대응책
728x90

스니퍼 탐지

 

네트워크에 별다른 이상 현상을 만들지 않기 때문에 사용자가 이를 인지하는 것이 어렵다.

 

네트워크 관리자나 보안 관리자라면 주기적으로 네트워크에 스니퍼가 있는지 탐색해 봐야 한다.

 

스니퍼가 프러미스큐어스 모드에서 작동한다.

 

스니퍼 대응책 

 

(1) 핑을 이용한 방법

(2) ARP를 이용한 방법

(3) DNS 방법

(4) 유인(Decoy) 방법

(5) ARP Watch

 

(1) 핑을 이용한 방법

대부분의 스니퍼는 일반 TCP/IP에서 동작하기 때문에 request를 받으면 response를 전달한다.

이를 이용한 방법은 의심이 가는 호스트에 ping을 보내는데, 네트워크에 존재하지 않는 MAC 주소를 위장하여 보낸다.

만약 ICMP Echo reply를 받으면 해당 호스트가 스니핑을 하고 있는 것이다.

 

(2) ARP를 이용한 방법

ping과 유사한 방법으로 위조된 ARP request를

보냈을 때 ARP response가 오면

프러미스큐어스 모드로 설정되어 있는 것이다.

 

(3) DNS 방법

스니핑 프로그램은 스니핑한 시스템의 IP 주소에 대한

DNS 이름 해석 과정(Inverse-DNS lookup)을 수행한다.

테스트 대상 네트워크로 Ping Sweep을 보내고 들어오는 Inverse-DNS lookup을 감시하여 스니퍼를 탐지한다.

 

(4) 유인(Decoy) 방법

스니핑 공격을 하는 공격자의 주요 목적은

계정과 패스워드의 획득에 있다.

 

보안 관리자는 이점을 이용하여

가짜 계정과 패스워드를 네트워크에 뿌린다.

 

공격자는 이 계정과 패스워드를 이용하여 접속을 시도

이 접속을 시도하는 시스템을 탐지

 

(5) ARP Watch

초기에 MAC 주소와 IP 주소의 매칭 값을 저장

ARP 트래픽을 모니터링

이를 변하게 하는 패킷이 탐지되면

관리자에게 메일로 알려주는 도구.

 

 

728x90
Posted by 정망스
,


맨 위로
홈으로 ▲위로 ▼아래로 ♥댓글쓰기 새로고침