2014년 5월 13일 화요일

스위치 환경에서의 스니핑 공격 기법

1. Switch Jamming
스위치의 MAC Address Table의 버퍼를 오버플로우 시켜서 스위치가 허브처럼 동작하게 강제적으로 만드는 기법을 말한다. 스위치는 Fail Open 정책, 즉 실패 시에 모두 허용해주는 정책을 따르는 장비이므로 문제가 발생하면 Hub처럼 모든 노드에게 패킷을 전송한다.
MAC Address Table을 채우기 위해 Source MAC 주소를 계속 변경하면서 패킷을 지속적으로 전송하는 방식으로 공격한다.

2. ARP Spoofing
공격자가 특정 호스트의 MAC주소를 자신의 MAC주소로 위조한 ARP Reply 패킷을 지속적으로 전송하면 희생자의 ARP Cache에 특정 호스트의 MAC주소 정보가 공격자의 MAC주소 정보로 변경이 된다. 이를 통해서 희생자로부터 특정 호스트로 나가는 패킷을 공격자가 스니핑하는 기법이다.

3. ARP Redirect
공격자가 자신이 라우터인 것처럼 MAC주소를 위조하여 ARP Reply패킷을 해당 네트워크에 broadcast한다. 이를 통해 해당 로컬 네트워크의 모든 호스트와 라우터 사이의 트래픽을 스니핑하고, IP Forward 기능을 통해 사용자들이 눈치 채지 못하도록 하는 기법이다.

4. ICMP Redirect
ICMP Redirect 메세지는 호스트-라우터 또는 라우터 간에 라우팅 경로를 재설정하기 위해 전송하는 메세지이다. 공격자가 이를 악용하여 특정 IP 또는 대역으로 나가는 패킷의 라우팅 경로를 자신의 주소로 위조한 ICMP Redirect 메세지를 생성하여 희생자에게 전송함으로서 패킷을 스니핑하는 공격이다.

5. using SPAN port(mirroring port) of Switch
스위치의 SPAN 포트는 스위치를 통과하는 모든 트래픽을 볼 수 있는 포트로 관리적인 목적으로 사용되지만 공격자가 트래픽을 스니핑하기 좋은 장소를 제공해 준다.

댓글 없음:

댓글 쓰기