H.I.S.L 스니핑동작원리및공격방법 작성자 : 한서대학교 H.I.S.L 동아리전정수 본보고서의전부나일부를인용시반드시 [ 자료 : 한서대학교정보보호동아리 (H.I.S.L)] 를명시하여주시기바랍니다

Similar documents
정보보안 개론과 실습:네트워크

TCP.IP.ppt

Microsoft Word doc

Network seminar.key

2. 인터네트워킹 서로떨어져있는각각의수많은네트워크들을연결하여하나의네트워크처럼연결하여사용할수있도록해주는것 3. 인터네트워킹에필요한장비 1 리피터 (Repeater) - 데이터가전송되는동안케이블에서신호의손실인감쇄 (Attenuation) 현상이발생하는데, 리피터는감쇄되는신

정보보안 개론과 실습:네트워크

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Microsoft Word - NAT_1_.doc

SMB_ICMP_UDP(huichang).PDF

1217 WebTrafMon II

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

6강.hwp

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

*2월완결

OSI 참조 모델과 TCP/IP

Microsoft PowerPoint _TCP_IP

bn2019_2

Subnet Address Internet Network G Network Network class B networ

2009년 상반기 사업계획

Microsoft PowerPoint - ch13.ppt

<352E20C8BFC0B2C0FBC0CE20536E E6720B0F8B0DD20B4EBC0C0B9E6BEC820BFACB1B82E687770>

슬라이드 제목 없음

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

슬라이드 1

ARP(Address Resolution Protocol) ARP - Layer 2 계층, Ethernet 환경에서 Destination IP 에대한 MAC Address 변환동작을담당한다. - 논리주소 (IP) 를물리주소 (MAC) 로변환시켜주는프로토콜이다. - 서로

Microsoft Word - CPL-TR wireshark.doc

<4D F736F F F696E74202D203033B3D7C6AEBFF6C5A9BAB8BEC8B0FA20C7D8C5B72E707074>

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

Microsoft Word - access-list.doc

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진

<B1DDC0B6C1A4BAB8C8ADC1D6BFE4B5BFC7E C8A3292E687770>

제10장 트래핀스포트 및 응용 계층

운영체제실습_명령어

UDP Flooding Attack 공격과 방어

Assign an IP Address and Access the Video Stream - Installation Guide

1. 정보보호 개요

네트워크통신연결방법 네트워크제품이통신을할때, 서로연결하는방법에대해설명합니다. FIRST EDITION

자바-11장N'1-502

ESET Cyber Security Pro

Chapter11OSPF

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

歯최덕재.PDF

정보보안 개론과 실습:네트워크

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

ARMBOOT 1

歯Cablexpert제안서.PDF

Analyst Briefing

untitled

untitled

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]


Microsoft PowerPoint - tem_5

PowerPoint 프레젠테이션

시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)

hd1300_k_v1r2_Final_.PDF

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

Microsoft PowerPoint - COMNET_10

일반적인 네트워크의 구성은 다음과 같다

개요 IPv6 개요 IPv6 주소 IPv4와공존 IPv6 전환기술 (Transition Technologies)

Microsoft Word - 유종선.doc

2-11Àå

StruxureWare Data Center Expert 7.2.x 의 새 기능 StruxureWare Data Center Expert 7.2.x 릴리스에서 사용할 수 있는 새 기능에 대해 자세히 알아보십시오. 웹 클라이언트 시작 화면: StruxureWare Cen

Remote UI Guide

[QoS 강좌] QoS에서의 혼잡 회피 적용과 이해 ②

[ tcpdump 패킷캡처프로그램 ] tcpdump란? tcpdump 버전확인 tcpdump 플래그 (flags) tcpdump 사용법 tcpdump의사용예제 telnet을활용해 root와 passwd 암호알아내기 [01] tcpdump란? tcpdump는 Lawren

chapter4

Microsoft Word - release note-VRRP_Korean.doc

<4D F736F F F696E74202D FB5A5C0CCC5CDC5EBBDC5B0FA20B3D7C6AEBFF6C5A9205BC8A3C8AF20B8F0B5E55D>

Sena Device Server Serial/IP TM Version

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

TOPAZ into SCADA Something Different. So, Special. 유비쿼터스 세상을 추구하는 - 신영전자통신

U.Tu System Application DW Service AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

Linux Server - IPtables Good Internet 소 속 IDC실 이 름 정명구매니저

*****

2009 학년도 2 학기통신프로토콜 Quiz 모음 ( 인터넷정보과 1 학년 C/G 반 ) 담당교수 : 권춘우 [Quiz #1] 통신기초와관련한다음물음에답하라. 1. 통신이라함은정보원 ( 송신자 / 수신자 ) 간정보를전송매체를통해전달하는것을의미한다. 그래서정보원 (sou

Wireshark Part 2 1

Microsoft PowerPoint - ch15.ppt

PPP over Ethernet 개요 김학용 World Class Value Provider on the Net contents Ⅰ. PPP 개요 Ⅱ. PPPoE 개요및실험 Ⅲ. 요약및맺음말

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

제목 레이아웃

제20회_해킹방지워크샵_(이재석)

cam_IG.book

Microsoft Word - ZIO-AP1500N-Manual.doc

Microsoft PowerPoint - 06-IPAddress [호환 모드]

서버설정 1. VLAN 설정 1.1 토폴로지를참고로 SW1 에 vlan 설정을한다. (vlan 이름을설정하고해당인터페이스에 vlan 이름과동일한코멘트를처리하시오.) 1.2 PC에토폴로지에부여된 IP를설정하고, 게이트웨이는네트워크의마지막주소를사용합니다. - 서버에는 DN

T100MD+

Microsoft Word - How to make a ZigBee Network_kr

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

정보통신공학특론 (과목번호 : 0634)

슬라이드 제목 없음

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

<C4C4C0CF31352D CC5EBBDC5B8C12CC5EBBDC5C0E5BAF12CBFC0B7F9B0CBC3E22E687770>

소개 TeraStation 을 구입해 주셔서 감사합니다! 이 사용 설명서는 TeraStation 구성 정보를 제공합니다. 제품은 계속 업데이트되므로, 이 설명서의 이미지 및 텍스트는 사용자가 보유 중인 TeraStation 에 표시 된 이미지 및 텍스트와 약간 다를 수

[ R E P O R T ] 정보통신공학전공 김성태

PowerPoint 프레젠테이션

Transcription:

작성자 : 한서대학교 H.I.S.L 동아리전정수 silvarows@nate.com 본보고서의전부나일부를인용시반드시 [ 자료 : 한서대학교정보보호동아리 (H.I.S.L)] 를명시하여주시기바랍니다. - 1 -

1) 스니핑정의 2) 스니핑원리 1) Switch Jamming 2) ARP Redirect 3) ARP spoofing 4) ICMP Redirect 1) TCP Dump 2) Dsniff 3) Sniffer Pro( 윈도우용 ) - 2 -

IT의발달로정보화사회에서생활하고있는우리는많은정보를컴퓨터에저장하고활용한다. 또한인터넷을이용한전자상거래및금융서비스를제공받고있다. 다양한서비스와컴퓨터의활용도가높은사회에서이를악용하는사례가발생하고있다. 스니핑은그중에서가장간단하여자료도쉽게구할수있다. 그럼스니핑에대하여지금부터알아보도록하겠다. 1) 스니핑정의 스니퍼 (sniffer) 는원래 Network Associate 사의등록상표였으나현재는 PC나 kleenex처럼일반적인용어로사용되고있다. "sniff" 라는단어의의미 ( 냄새를맡다, 코를킁킁거리다 ) 에서도알수있듯이스니퍼는 " 컴퓨터네트워크상에흘러다니는트래픽을엿듣는도청장치 " 라고말할수있다. 그리고 " 스니핑 " 이란이러한스니퍼를이용하여네트워크상의데이터를도청하는행위를말한다. 이러한스니핑공격은웹호스팅, 인터넷데이터센터 (IDC) 등과같이여러업체가같은네트워크를공유하는환경에서는매우위협적인공격이될수있다. 하나의시스템이공격당하게되면그시스템을이용하여네트워크를도청하게되고, 다른시스템의 User ID/Passwd를알아내게된다. 비록스위칭환경의네트워크를구축하여스니핑을어렵게할수는있지만이를우회할수있는많은공격방법이존재한다. 본문서는스위칭환경에서의스니핑공격기법과그리고이에대한대책을설명한다. 2) 스니핑의원리 LAN 상에서개별호스트를구별하기위한방법으로이더넷인터페이스는 MAC(Media Access Control) 주소를갖게되며, 모든이더넷인터페이스의 MAC 주소는서로다른값을갖는다. 따라서로컬네트워크상에서각각의호스트는유일하게구별될수있다. 다음은이더넷 (ethernet) 프레임의포맷을나타낸다. destination MAC addr 6 byte source MAC addr 6 byte type 2 data 46-1500 byte CRC 4 < 표 1> 이더넷의포맷 (RFC 894) 그리고위의이더넷포맷은 type 에따라다음과같은 3 가지포맷으로구성된다. - 3 -

type 0800 type 0806 ARP request/reply 28 IP datagram 46-1500 PAD 18 type 8035 RARP request/reply 28 PAD 18 이더넷은로컬네트워크내의모든호스트가같은선 (wire) 을공유하도록되어있다. 따라서같은네트워크내의컴퓨터는다른컴퓨터가통신하는모든트래픽을볼수있다. 하지만이더넷을지나는모든트래픽을받아들이면관계없는트래픽까지처리해야하므로효율적이지못하고네트워크의성능도저하될수있다. 그래서이더넷인터페이스 (LAN 카드 ) 는자신의 MAC address를갖지않는트래픽을무시하는필터링기능을가지고있다. 이필터링기능은자신의 MAC address를가진트래픽만을보도록한다. 또한이더넷인터페이스에서모든트래픽을볼수있도록하는기능을설정할수도있는데이를 "promiscuous mode" 라한다. 스니퍼는이더넷인터페이스를이러한 promiscuous mode" 로설정하여로컬네트워크를지나는모든트래픽을도청할수있게된다. 허브 (Hub) 는기본적으로들어온패킷에대해 ozlt이들어온포트를제외한모든포트에대한패킷을보내는리피터 (Repeater) 장비이다. 사실여러기업에서허브를사용하고있고여러시스템이그허브에연결되어있다면원하던원치않던간에계속하여다름사람의패킷들을받아보고있었던것이다. 물론네트워크다리이버, OS커널등의수준에서 MAC주소를보아자신이아닌다른이들의패킷은버려지기때문에그것을쉽게느낄수없었을것이다. 하지만여러시스템 NIC를 promisuous모드로동작하게한다면다른이들의패킷또한버리지않고받아볼수있다. 이제스니핑도구를통해해당패킷을저장하고분석하기만하면된다. < 허브환경에서의패킷송신 > - 4 -

일반적으로앞서설명한스니핑을방지하는방법으로스위칭허브를사용하게된다. 스위칭허브는로컬네트워크를여러개의세크먼트로나누어쓸수있도록하는데, 각세그먼트내의트래픽은다른세그먼트로전달되지않는다. 따라서스위칭허브를이용하여업무별로또는독립적인사이트별로네트워크를나누어놓으면다른네트워크세그먼트내의네트워크트래픽을도청할수없게된다. 하지만 Switch Jamming, ARP Redirct나 ICMP Redirct 등의기법을이용하여다른네트워크세그먼트의데이터를스니핑할수있는방법도있다. 1) Switch Jamming 많은종류의스위치들은주소테이블이가득차게되면 (Full) 모든네트워크세그먼트로트레픽을브로드케스팅하게된다. 따라서공격자는위조된 MAC 주소를지속적으로네트워크에흘림으로서스위칭허브의주소테이블을오버플로우시켜다른네트워크세그먼트의데이터를스니핑할수있게된다. 이는보안원리의하나인 "Fail close ( 시스템에이상이있을경우보안기능이무력화되는것을방지하는원리 )" 를따르지않기때문에발생한다. 스위치들은사실상보안보다는기능과성능위주로디자인되어있다. 다음은 arp flooding 공격을할때발생하는임의의 arp 패킷을 tcpdump 를이용하여잡은것이다. 공격자가만들어낸이러한임의의 arp 패킷의 MAC 주소는스위치의주소테이블을오버플로우시키게된다. - 5 -

2) ARP Redirect 공격 먼저정상적인 ARP Protocol에대하여설명한다. IP 데이터그램에서 IP 주소는 32 bit 구조로되어있고이더넷주소 (MAC 주소 ) 는 48 bit의크기를갖는다. 다른호스트로 ftp나 telnet 등과같은네트워크연결을하기위해서는상대방호스트의이더넷주소를알아야한다. 즉, 사용자는 IP 주소를이용하여연결을하지만이더넷상에서는이더넷주소를이용하게된다. 이를위하여 IP주소를이더넷주소로변환시켜주어야하는데이를 ARP(Address Resolution Protocol) 라한다. 그리고그역과정을 RARP(Reverse Address esolution Protocol) 라한다. ARP를이용하여상대호스트의이더넷주소를알아내는과정은다음과같다. 1 먼저네트워크내의모든호스트에 "ARP Request" 라고불리는이더넷프레임을보낸다. 연결하고자하는호스트의 IP 주소를포함한 ARP Request는이더넷상의모든다른호스트들에게 " 이 IP 주소를사용하는호스트는나에게하드웨어주소 ( 이더넷주소 ) 를알려주시오 " 라는의미를갖는다. 2 ARP Request를받은호스트중해당 IP를사용하는호스트는자신의하드웨어주소 ( 이더넷주소 ) 를 ARP Request 를보낸호스트에게만보내주게되는데이를 ARP Reply 라고한다. 3 이후두호스트간의통신 (ftp, telnet 등 ) 을위하여상대방의이더넷주소를사용하게되며, IP datagram을송수신할수있게된다. 다음그림은 ARP Request와 ARP Reply의과정을보여주고있다. - 6 -

다음은실제로 192.168.255.1 번호스트에서 192.168.255.129번으로 ping을했을경우나타나는 arp 트래픽이다. arp request/reply를교환한두호스트는상대방의 MAC주소를각각의 arp cache에저장하게된다. 따라서마지막라인에서 172.16.2.26 번호스트가 15번호스트로 echo reply를보낼때는 arp request/reply 과정을거치지않아도된다. "ARP Redirect" 공격은위조된 arp reply를보내는방법을사용한다. 즉공격자호스트가 " 나의 MAC 주소가라우터의 MAC 주소이다 " 라는위조된 arp reply를브로드케스트로네트워크에주기적으로보내어, 스위칭네트워크상의다른모든호스트들이공격자호스트를라우터로믿게끔한다. 결국외부네트워크와의모든트래픽은공격자호스트를통하여지나가게되고공격자는스니퍼를통하여필요한정보를도청할수있게된다. ARP Protocol specification에의하면이미 cache에저장하고있는 IP에대의하면이request를받게되면호스트는하면이request를보낸호스트의 MAC 주소를 cahe에업데이트하게된다고나와있다. 그리고이러의cache의업데이트기능은 arp reply에도적용되는것으로보이며, 위의공격이성공할수있는요인이된다. 하지만시스템에따라다를수도있다. 이때공격호스트는 IP Forwarding 기능을설정하여야공격호스트로오는모든트래픽을원래의게이트웨이로 Forwarding 해줄수있다. 그렇지않으면외부로나가는모든네트워크연결이끊어지게된다. 다음은 "arpredirect" 라는공격프로그램으로공격했을때네트워크상에나타나는 arp 패킷을 tcpdump를이용하여잡은모습이다. 공격이끝날때는원래의 arp 매핑을복원하여네트워크연결이끊어지지않도록하고있다. - 7 -

3) ARP Spoofing 공격 ARP redirect와비슷한공격방법으로다른세그먼트에존재하는호스트간의트래픽을스니핑하고자할때사용된다. 공격자는자신의 MAC 주소를스니핑하고자하는두호스트의 MAC 주소로위장하는 arp reply( 또는 request) 패킷을네트워크에뿌린다. 즉 " 나의 ( 공격자의 ) MAC 주소가스니핑하고자하는호스트의 MAC 주소이다 " 라는 arp reply를각각의호스트에게보내게된다. 이러한 arp reply를받은두호스트는자신의 arp cache를업데이트하게되고, 두호스트간에연결이일어날때공격자호스트의 MAC 주소를사용하게된다. 결국두호스트간의모든트랙픽은공격자가위치한세그먼트로들어오게된다. 이러한경우 arp redirect 공격과마찬가지로공격자호스트로넘어오는트래픽을본래의호스트로 relay 해주어야만두호스트간에정상적인연결을할수있게되고스니핑도할수있다. 그렇지않으면두호스간의연결은이루어질수없게되고결국스니핑도할수없게된다. 다음은 "arpmitm" 이라는공격프로그램을이용하여 172.16.2.15 와 172.16.2.18 번호스트간의트래픽을스니핑하기위한공격했을때네트워크상에나타나는 arp 패킷을 tcpdump를이용하여잡은모습이다. 4) ICMP Redirect 공격 ICMP(Internet Control Message Protocol) 는네트워크에러메시지를전송하거나네트워크흐름을통제하기위한프로토콜인데 ICMP Redirect를이용해서스니핑할수있는방법이존재한다. ICMP Redirect 메시지는하나의네트워크에여러개의라우터가있을경우, 호스트가패킷을올바른라우터에게보내도록알려주는역할을한다. 공격자는이를악용하여다른세그먼트에있는호스트에게위조된 ICMP Redirect 메시지를보내공격자의호스트로패킷을보내도록하여패킷을스니핑하는방법이다. - 8 -

1) TCP Dump 가장일반적인스니핑툴이다. 관리자적인느낌이강한스니퍼이며, 네트워크관리를 위해개발되었다. 1 TCP Dump 소스를압축에서풀고./configure 를입력한다. 2 오브젝트코드를만들기위해 make 를입력하고, make install 로컴퓨터에인스톨한다. - 9 -

4 위과정을마쳤으면실행명령을통해실행해본다. 5 Telnet 계정 ID 의경우 6 Telnet 계정 PW 의경우 - 10 -

2) Dsniff DSniff는스니핑을위한자동화툴이다. 많은이들이 SSL과같은암호화를쓰는통신이안전하다고생각하나, DSniff는이렇게암호화된계정과패스워드까지읽어내는능력이있다. DSniff가읽어낼수있는패킷은다음과같다. ftp, telnet, http, pop, nntp, imap, snmp, ldap, rlogin, rip, ospf, pptp, ms-chap, nfs, yp/nis+, socks, x11, cvs, IRC, ATM, ICQ, PostageSQL, Citrix ICA, Symantec pcanywhere, M.S. SQL, auth, info 등이있다. 툴기능 filesnarf NFS 트래픽에서스니프한파일을현재디렉토리에저장한다. macof 스위치를허브와같이작동하게하기위하여임의의 MAC 주소로 스위치의 MAC 테이블을오버플로우 (Overflow) 시킨다. mailsnarf SNMP 와 POP 을스니프하여이메일을볼수있게해준다. msgsnarf 채팅메시지를스니핑한다. tcpkill 탐지할수있는 TCP 세션을모두끊는다. tcpnice ICMP source quench 메시지를보내특정 TCP 연결을느리게만든다. 속도가빠른네트워크에서 tm 니프할때 arpspoof ARP 스푸핑공격을실행한다. dnsspoof DNS 스푸핑공격을실행한다. urlsnarf CLF(Common Log Format) 에서 HTTP 트래픽을스니핑하여선택된 URL을알려준다. (1) Dsniff 를이용하여여러가지공격 1 Dsniff 공격 - 11 -

2 TcpKill 을이용한세션끊기 3 Tcpnice 을이용한트래픽속도느리게만들기 - 12 -

4 Urlsnarf 를이용한웹서핑감시 5 mailsnarf 를이용한메일스니핑 6 Msgsnarf 를이용한메신저통신내용스니핑 - 13 -

3) Sniffer Pro 기본적으로스니핑이지원되지않으나, WinPCAP 과같은라이브러리를이용해서스니핑 이가능하다. 윈도우스니퍼는뛰어난 GUI 를이용한네트워크상태를점검하거나패킷의 통계를내기위한목적으로많이쓰인다. 1 스니퍼프로를이용한프로토콜분석 스니핑이란해커들이가장많이사용하는기술이라고한다. Sniffer라는이름을가진 Tool들이인터넷상으로널리배포되어패킷들을재조합하고원래데이터를충분히복제할수있다. 이러한공격을방지하기위하여취할수있는여러가지방법등으로예방할수있으나모두완벽할수는없고, 또해커들의능력이날로향상되고있으므로관리자들은자신의시스템환경에맞는대책을강구해야만할것이다. 1. TCP/IP Illustrated, Volume1, The Protocols, W.Richard Stevens, ADDISON-WESLEY 2. dsniff, http://www.monkey.org/~dugsong/dsniff/ 3. arpwatch, ftp://ftp.ee.lbl.gov/ 4. arpmitm, http://teso.scene.at/releases.php3 5. Sniffing FAQ, http://www.securitymap.net/docs/faq/sniffing-faq.htm 6. Sniffing tool, http://kmh.yeungnam-c.ac.kr/hacking/programs/stm/stm_sniffer.html - 14 -