네트워크 보안 - Sniffing, Eavesdropping, Wiretapping

---

---

다음 용어 중 개념상 나머지와 가장 거리가 먼 것은?   4
① sniffing 
② eavesdropping 
③ tapping 
④ spoofing

 

---

1. Sniffing / Eavesdropping / Wiretapping (도청,엿듣기)

  ㅇ 통신로 상에서 엿듣기를 통해 몰래 데이터를 획득하는 행위

  ㅇ 용어상 유의할 점 
     - [전화 통화 등]
        . 도청 또는 감청이라고하는 영문표기로는 Eavesdropping 또는 Wiretapping을 주로 사용
     - [네트워크 보안 분야]  
        . 스누핑(Snooping) 및 스니핑(Sniffing)이 거의 같은 의미를 뜻하나,
           .. 몰래 엿듣는 의미로 `스니핑`을 주로 많이 쓰고, 
           .. 합법적 청취 의미로 `스누핑`을 주로 씀


2. Sniffing(스니핑) 관련 주요 S/W 도구들 

  ㅇ 원래 스니핑은 네트워크를 분석하기 위한 합법적인 `패킷 캡처` 도구를 지칭하였음
     - Tcpdump, 썬社의 Snoop, NAI社의 Sniffer, Sniffit 등 Packet Sniffer라고 불리우는
       일련의 도구들이  물리적 선(Wire)상에 떠다니는  모든 패킷들을  캡쳐하고  디코딩
       (해독 분석)할 수 있음
     - 이들은 고장탐지(Troubleshooting) 및 트래픽 분석 등에 매우 유용한 도구임


3. 패킷 스니핑 보안공격에 대한 주요 방어 수단

  ㅇ 평문 패킷의 암호화(Encryption)
  ㅇ LAN 세그먼트를 보다 국지적으로 세분화시킴
  ㅇ 인증(Authentication)


4. 스니핑 시도시 필요한 무차별모드(Promiscuous Mode) 및 스니핑 탐지

  ㅇ 스니핑을 시도할 때는,
     - LAN 카드를 네트워크에 흐르는 모든 패킷을 캡쳐하도록 하는
       Promiscuous Mode 상태로 설정해야 함

     - 한편, 스위칭 허브 등 스위치 환경하에서는, 
        . 세그먼트(포트) 간에는 트래픽을 다른 세그먼트(포트)로 전달 않토록 보안성을 강화시킴
        . 하지만, Switch Jamming, ARP Redirect, ICMP Redirect 등의 보안공격 기법을
          활용하면 다른 세그먼트 데이터도 스니핑이 가능하게됨

  ㅇ 스니핑 탐지
     - ICMP, ARP를 이용하면, 무차별 모드를 사용 중인 의심스러운 호스트는,
       실제 없는 주소에 대해서도 응답할 수 있으므로 이로써 탐지 가능


5. 스위치 환경에서 타 포트로 접속된 컴퓨터를 스니핑하는 방법

  ㅇ 포트 미러링(Port Mirroring)
     - 스위치 제어 명령어로 직접 구성시킴(스위치 제조사 마다 다름)
  ㅇ 허빙 아웃(Hubbing-out)
     - 스위치 포트와 대상 컴퓨터 사이에 더미허브를 중간 연결시켜 트래픽 스니핑
  ㅇ 탭(Network Tap) 사용
     - 트래픽을 탭핑시킬 수 있는 전문 하드웨어 장치
  ㅇ ARP 캐시 포이즈닝(cashe poisoning)