작성자 : 한서대학교 H.I.S.L 동아리전정수 silvarows@nate.com 본보고서의전부나일부를인용시반드시 [ 자료 : 한서대학교정보보호동아리 (H.I.S.L)] 를명시하여주시기바랍니다. - 1 -
1) 스니핑정의 2) 스니핑원리 1) Switch Jamming 2) ARP Redirect 3) ARP spoofing 4) ICMP Redirect 1) TCP Dump 2) Dsniff 3) Sniffer Pro( 윈도우용 ) - 2 -
IT의발달로정보화사회에서생활하고있는우리는많은정보를컴퓨터에저장하고활용한다. 또한인터넷을이용한전자상거래및금융서비스를제공받고있다. 다양한서비스와컴퓨터의활용도가높은사회에서이를악용하는사례가발생하고있다. 스니핑은그중에서가장간단하여자료도쉽게구할수있다. 그럼스니핑에대하여지금부터알아보도록하겠다. 1) 스니핑정의 스니퍼 (sniffer) 는원래 Network Associate 사의등록상표였으나현재는 PC나 kleenex처럼일반적인용어로사용되고있다. "sniff" 라는단어의의미 ( 냄새를맡다, 코를킁킁거리다 ) 에서도알수있듯이스니퍼는 " 컴퓨터네트워크상에흘러다니는트래픽을엿듣는도청장치 " 라고말할수있다. 그리고 " 스니핑 " 이란이러한스니퍼를이용하여네트워크상의데이터를도청하는행위를말한다. 이러한스니핑공격은웹호스팅, 인터넷데이터센터 (IDC) 등과같이여러업체가같은네트워크를공유하는환경에서는매우위협적인공격이될수있다. 하나의시스템이공격당하게되면그시스템을이용하여네트워크를도청하게되고, 다른시스템의 User ID/Passwd를알아내게된다. 비록스위칭환경의네트워크를구축하여스니핑을어렵게할수는있지만이를우회할수있는많은공격방법이존재한다. 본문서는스위칭환경에서의스니핑공격기법과그리고이에대한대책을설명한다. 2) 스니핑의원리 LAN 상에서개별호스트를구별하기위한방법으로이더넷인터페이스는 MAC(Media Access Control) 주소를갖게되며, 모든이더넷인터페이스의 MAC 주소는서로다른값을갖는다. 따라서로컬네트워크상에서각각의호스트는유일하게구별될수있다. 다음은이더넷 (ethernet) 프레임의포맷을나타낸다. destination MAC addr 6 byte source MAC addr 6 byte type 2 data 46-1500 byte CRC 4 < 표 1> 이더넷의포맷 (RFC 894) 그리고위의이더넷포맷은 type 에따라다음과같은 3 가지포맷으로구성된다. - 3 -
type 0800 type 0806 ARP request/reply 28 IP datagram 46-1500 PAD 18 type 8035 RARP request/reply 28 PAD 18 이더넷은로컬네트워크내의모든호스트가같은선 (wire) 을공유하도록되어있다. 따라서같은네트워크내의컴퓨터는다른컴퓨터가통신하는모든트래픽을볼수있다. 하지만이더넷을지나는모든트래픽을받아들이면관계없는트래픽까지처리해야하므로효율적이지못하고네트워크의성능도저하될수있다. 그래서이더넷인터페이스 (LAN 카드 ) 는자신의 MAC address를갖지않는트래픽을무시하는필터링기능을가지고있다. 이필터링기능은자신의 MAC address를가진트래픽만을보도록한다. 또한이더넷인터페이스에서모든트래픽을볼수있도록하는기능을설정할수도있는데이를 "promiscuous mode" 라한다. 스니퍼는이더넷인터페이스를이러한 promiscuous mode" 로설정하여로컬네트워크를지나는모든트래픽을도청할수있게된다. 허브 (Hub) 는기본적으로들어온패킷에대해 ozlt이들어온포트를제외한모든포트에대한패킷을보내는리피터 (Repeater) 장비이다. 사실여러기업에서허브를사용하고있고여러시스템이그허브에연결되어있다면원하던원치않던간에계속하여다름사람의패킷들을받아보고있었던것이다. 물론네트워크다리이버, OS커널등의수준에서 MAC주소를보아자신이아닌다른이들의패킷은버려지기때문에그것을쉽게느낄수없었을것이다. 하지만여러시스템 NIC를 promisuous모드로동작하게한다면다른이들의패킷또한버리지않고받아볼수있다. 이제스니핑도구를통해해당패킷을저장하고분석하기만하면된다. < 허브환경에서의패킷송신 > - 4 -
일반적으로앞서설명한스니핑을방지하는방법으로스위칭허브를사용하게된다. 스위칭허브는로컬네트워크를여러개의세크먼트로나누어쓸수있도록하는데, 각세그먼트내의트래픽은다른세그먼트로전달되지않는다. 따라서스위칭허브를이용하여업무별로또는독립적인사이트별로네트워크를나누어놓으면다른네트워크세그먼트내의네트워크트래픽을도청할수없게된다. 하지만 Switch Jamming, ARP Redirct나 ICMP Redirct 등의기법을이용하여다른네트워크세그먼트의데이터를스니핑할수있는방법도있다. 1) Switch Jamming 많은종류의스위치들은주소테이블이가득차게되면 (Full) 모든네트워크세그먼트로트레픽을브로드케스팅하게된다. 따라서공격자는위조된 MAC 주소를지속적으로네트워크에흘림으로서스위칭허브의주소테이블을오버플로우시켜다른네트워크세그먼트의데이터를스니핑할수있게된다. 이는보안원리의하나인 "Fail close ( 시스템에이상이있을경우보안기능이무력화되는것을방지하는원리 )" 를따르지않기때문에발생한다. 스위치들은사실상보안보다는기능과성능위주로디자인되어있다. 다음은 arp flooding 공격을할때발생하는임의의 arp 패킷을 tcpdump 를이용하여잡은것이다. 공격자가만들어낸이러한임의의 arp 패킷의 MAC 주소는스위치의주소테이블을오버플로우시키게된다. - 5 -
2) ARP Redirect 공격 먼저정상적인 ARP Protocol에대하여설명한다. IP 데이터그램에서 IP 주소는 32 bit 구조로되어있고이더넷주소 (MAC 주소 ) 는 48 bit의크기를갖는다. 다른호스트로 ftp나 telnet 등과같은네트워크연결을하기위해서는상대방호스트의이더넷주소를알아야한다. 즉, 사용자는 IP 주소를이용하여연결을하지만이더넷상에서는이더넷주소를이용하게된다. 이를위하여 IP주소를이더넷주소로변환시켜주어야하는데이를 ARP(Address Resolution Protocol) 라한다. 그리고그역과정을 RARP(Reverse Address esolution Protocol) 라한다. ARP를이용하여상대호스트의이더넷주소를알아내는과정은다음과같다. 1 먼저네트워크내의모든호스트에 "ARP Request" 라고불리는이더넷프레임을보낸다. 연결하고자하는호스트의 IP 주소를포함한 ARP Request는이더넷상의모든다른호스트들에게 " 이 IP 주소를사용하는호스트는나에게하드웨어주소 ( 이더넷주소 ) 를알려주시오 " 라는의미를갖는다. 2 ARP Request를받은호스트중해당 IP를사용하는호스트는자신의하드웨어주소 ( 이더넷주소 ) 를 ARP Request 를보낸호스트에게만보내주게되는데이를 ARP Reply 라고한다. 3 이후두호스트간의통신 (ftp, telnet 등 ) 을위하여상대방의이더넷주소를사용하게되며, IP datagram을송수신할수있게된다. 다음그림은 ARP Request와 ARP Reply의과정을보여주고있다. - 6 -
다음은실제로 192.168.255.1 번호스트에서 192.168.255.129번으로 ping을했을경우나타나는 arp 트래픽이다. arp request/reply를교환한두호스트는상대방의 MAC주소를각각의 arp cache에저장하게된다. 따라서마지막라인에서 172.16.2.26 번호스트가 15번호스트로 echo reply를보낼때는 arp request/reply 과정을거치지않아도된다. "ARP Redirect" 공격은위조된 arp reply를보내는방법을사용한다. 즉공격자호스트가 " 나의 MAC 주소가라우터의 MAC 주소이다 " 라는위조된 arp reply를브로드케스트로네트워크에주기적으로보내어, 스위칭네트워크상의다른모든호스트들이공격자호스트를라우터로믿게끔한다. 결국외부네트워크와의모든트래픽은공격자호스트를통하여지나가게되고공격자는스니퍼를통하여필요한정보를도청할수있게된다. ARP Protocol specification에의하면이미 cache에저장하고있는 IP에대의하면이request를받게되면호스트는하면이request를보낸호스트의 MAC 주소를 cahe에업데이트하게된다고나와있다. 그리고이러의cache의업데이트기능은 arp reply에도적용되는것으로보이며, 위의공격이성공할수있는요인이된다. 하지만시스템에따라다를수도있다. 이때공격호스트는 IP Forwarding 기능을설정하여야공격호스트로오는모든트래픽을원래의게이트웨이로 Forwarding 해줄수있다. 그렇지않으면외부로나가는모든네트워크연결이끊어지게된다. 다음은 "arpredirect" 라는공격프로그램으로공격했을때네트워크상에나타나는 arp 패킷을 tcpdump를이용하여잡은모습이다. 공격이끝날때는원래의 arp 매핑을복원하여네트워크연결이끊어지지않도록하고있다. - 7 -
3) ARP Spoofing 공격 ARP redirect와비슷한공격방법으로다른세그먼트에존재하는호스트간의트래픽을스니핑하고자할때사용된다. 공격자는자신의 MAC 주소를스니핑하고자하는두호스트의 MAC 주소로위장하는 arp reply( 또는 request) 패킷을네트워크에뿌린다. 즉 " 나의 ( 공격자의 ) MAC 주소가스니핑하고자하는호스트의 MAC 주소이다 " 라는 arp reply를각각의호스트에게보내게된다. 이러한 arp reply를받은두호스트는자신의 arp cache를업데이트하게되고, 두호스트간에연결이일어날때공격자호스트의 MAC 주소를사용하게된다. 결국두호스트간의모든트랙픽은공격자가위치한세그먼트로들어오게된다. 이러한경우 arp redirect 공격과마찬가지로공격자호스트로넘어오는트래픽을본래의호스트로 relay 해주어야만두호스트간에정상적인연결을할수있게되고스니핑도할수있다. 그렇지않으면두호스간의연결은이루어질수없게되고결국스니핑도할수없게된다. 다음은 "arpmitm" 이라는공격프로그램을이용하여 172.16.2.15 와 172.16.2.18 번호스트간의트래픽을스니핑하기위한공격했을때네트워크상에나타나는 arp 패킷을 tcpdump를이용하여잡은모습이다. 4) ICMP Redirect 공격 ICMP(Internet Control Message Protocol) 는네트워크에러메시지를전송하거나네트워크흐름을통제하기위한프로토콜인데 ICMP Redirect를이용해서스니핑할수있는방법이존재한다. ICMP Redirect 메시지는하나의네트워크에여러개의라우터가있을경우, 호스트가패킷을올바른라우터에게보내도록알려주는역할을한다. 공격자는이를악용하여다른세그먼트에있는호스트에게위조된 ICMP Redirect 메시지를보내공격자의호스트로패킷을보내도록하여패킷을스니핑하는방법이다. - 8 -
1) TCP Dump 가장일반적인스니핑툴이다. 관리자적인느낌이강한스니퍼이며, 네트워크관리를 위해개발되었다. 1 TCP Dump 소스를압축에서풀고./configure 를입력한다. 2 오브젝트코드를만들기위해 make 를입력하고, make install 로컴퓨터에인스톨한다. - 9 -
4 위과정을마쳤으면실행명령을통해실행해본다. 5 Telnet 계정 ID 의경우 6 Telnet 계정 PW 의경우 - 10 -
2) Dsniff DSniff는스니핑을위한자동화툴이다. 많은이들이 SSL과같은암호화를쓰는통신이안전하다고생각하나, DSniff는이렇게암호화된계정과패스워드까지읽어내는능력이있다. DSniff가읽어낼수있는패킷은다음과같다. ftp, telnet, http, pop, nntp, imap, snmp, ldap, rlogin, rip, ospf, pptp, ms-chap, nfs, yp/nis+, socks, x11, cvs, IRC, ATM, ICQ, PostageSQL, Citrix ICA, Symantec pcanywhere, M.S. SQL, auth, info 등이있다. 툴기능 filesnarf NFS 트래픽에서스니프한파일을현재디렉토리에저장한다. macof 스위치를허브와같이작동하게하기위하여임의의 MAC 주소로 스위치의 MAC 테이블을오버플로우 (Overflow) 시킨다. mailsnarf SNMP 와 POP 을스니프하여이메일을볼수있게해준다. msgsnarf 채팅메시지를스니핑한다. tcpkill 탐지할수있는 TCP 세션을모두끊는다. tcpnice ICMP source quench 메시지를보내특정 TCP 연결을느리게만든다. 속도가빠른네트워크에서 tm 니프할때 arpspoof ARP 스푸핑공격을실행한다. dnsspoof DNS 스푸핑공격을실행한다. urlsnarf CLF(Common Log Format) 에서 HTTP 트래픽을스니핑하여선택된 URL을알려준다. (1) Dsniff 를이용하여여러가지공격 1 Dsniff 공격 - 11 -
2 TcpKill 을이용한세션끊기 3 Tcpnice 을이용한트래픽속도느리게만들기 - 12 -
4 Urlsnarf 를이용한웹서핑감시 5 mailsnarf 를이용한메일스니핑 6 Msgsnarf 를이용한메신저통신내용스니핑 - 13 -
3) Sniffer Pro 기본적으로스니핑이지원되지않으나, WinPCAP 과같은라이브러리를이용해서스니핑 이가능하다. 윈도우스니퍼는뛰어난 GUI 를이용한네트워크상태를점검하거나패킷의 통계를내기위한목적으로많이쓰인다. 1 스니퍼프로를이용한프로토콜분석 스니핑이란해커들이가장많이사용하는기술이라고한다. Sniffer라는이름을가진 Tool들이인터넷상으로널리배포되어패킷들을재조합하고원래데이터를충분히복제할수있다. 이러한공격을방지하기위하여취할수있는여러가지방법등으로예방할수있으나모두완벽할수는없고, 또해커들의능력이날로향상되고있으므로관리자들은자신의시스템환경에맞는대책을강구해야만할것이다. 1. TCP/IP Illustrated, Volume1, The Protocols, W.Richard Stevens, ADDISON-WESLEY 2. dsniff, http://www.monkey.org/~dugsong/dsniff/ 3. arpwatch, ftp://ftp.ee.lbl.gov/ 4. arpmitm, http://teso.scene.at/releases.php3 5. Sniffing FAQ, http://www.securitymap.net/docs/faq/sniffing-faq.htm 6. Sniffing tool, http://kmh.yeungnam-c.ac.kr/hacking/programs/stm/stm_sniffer.html - 14 -