중소기업융합학회논문지제 6 권제 2 호 pp. 31-36, 2016 ISSN 2234-4438 DOI : http://dx.doi.org/10.22156/cs4smb.2016.6.2.031 효율적인 Sniffing 공격대응방안연구 홍성혁 1*, 서유정 2 1 백석대학교정보통신학부, 2 중부대학교정보보호학과 Countermeasure of Sniffing Attack: Survey Sunghyuck Hong 1*, Yujeong Seo 2 1 Baekseok University, Div. Information and Communication 2 Joongbu University, Information Security 요약 Sniffing 은공격자가암호화되지않은패킷들을수집하여순서대로재조합하고난후공격대상의개인정보, 계좌정보등중요정보를유출하기위한수동적형태의공격이다. Sniffing 공격으로인해패킷들이유출되는것을방지하기위해기존의방법들을살펴보고, 효율적인방어대책을제시하였다. Sniffing공격은공격대상의근거리네트워크를 Promiscuous Mode 을이용해조작한후필터링을해제하고패킷을훔치는방식으로작동한다. 공격의형태로 Switch Jamming, Port mirroring, ARP Redirect, ICMP Redirect 공격등이있다. 제안하는공격대응방법으로는 SSL을통한패킷의암호화, 스위칭환경의네트워크구성관리, DNS를이용하는방법과 decoy 방법을이용하면안전한통신이가능할것으로기대하며, 더효율적이며안전한 ICT 연구에기여한다. 향후프로토타입프로토콜을통하여효율성을증명하는것은향후연구로진행할예정이다. 키워드 : Sniffing 공격, 웹해킹, 수동적공격, 네트워크보안 Abstract Sniffing attack is a passive attack which is reassembling packets to collect personal information, bank accounting number, and other important information. Sniffing attack happens in LAN and uses promiscuous mode which is opening filtering by pass all packets in LAN, attackers could catch any packets in LAN, so they can manipulate packets. They are Switch Jamming, Port mirroring, ARP Redirect, and ICMP Redirect attack. To defend these attacks, I proposed to use SSL packet encryption, reconfiguration of switching environment, DNS, and decoy method for defending all kinds of Sniffing attacks. Key Words : Attacks sniffing switch, Data protection, mobile security, Web security, Switch 1. 서론 IoT 관련신제품과서비스가증가하는등 IoT시장이본격적으로성장하고있다. 이에따른 IoT 보안문제의심각성을보여주는많은사례가보고되고있다. 서비스가늘어감에따라공격의경로가다양해지고있기때문이다. Capemini Consulting에서 IoT제품개발과관련된대 기업의 CEO, 사이버보안전문가를대상으로 IoT 보안위협공격유형에따른설문조사를실시한결과에따르면패스워드공격, ID 스푸핑공격, 데이터변경공격, 도청 / 스니핑공격, 서비스거부공격중스니핑공격이 39% 로높은비율을차지했다 [1]. 스니핑은정보보안의 3요소중기밀성을해치는공격이다. 하지만 IoT제품개발에서보안에신경을쓰는기업은전체의 48% 밖에없는것으로나타난다 [1]. 시장이 Received 2016-06-07 Revised 2016-06-15 Accepted 2016-06-16 Published 2016-06-30 * Corresponding author : Sunghyuck Hong (shong@bu.ac.kr) 31
중소기업융합학회논문지제 6 권제 2 호 성장해가는것처럼보안에대한수준도더욱높아져야한다. 본연구의구성은다음과같다. 2장에서는스니핑의원리, 형태등을기술하였으며, 3장에서는스니핑의대응방법을기술하였다. 그리고 4장에서연구를마무리하는결론을맺는다. 2. 스니핑 (Sniffing) 2.1 스니핑 (Sniffing) 스니핑은암호화가되지않은패킷들을수집하여순서대로재조합하고난후, ID, PASSWORD나계좌의비밀번호같은중요정보를유출하기위한수동적형태의공격으로. 공격대상의네트워크패킷을수집하여분석또는도청한다. 도청할때사용하는도구를스니퍼 (sniffer) 라고한다. 이것이위협적인이유는네트워크내의여러패킷들은상당수가암호화되어있지않아공격대상이되기쉬우며, 그로인해우리의사생활이노출되며자산이위협을받을수있기때문이다. 주소로구별할수있다. 전송자는자신의 MAC 주소와수신자의 MAC주소, 그리고데이터를포함하여전송하게되는데이때로컬네트워크내의모든호스트는수신자의 MAC주소를확인하여본인이아닐경우필터링을거쳐해당패킷을폐기하는방식으로동작한다. 그러나공격자가공격대상의 랜카드를 Promiscuous Mode를이용해조작하면필터링이해제되고패킷을폐기하지않기때문에다른호스트의통신내용을수신할수있게된다. Real Sender Normal receive Sender Host Receiver s MAC address Packet discarded MAC address MAC address MAC address Fig. 2. Sniffing Actually Works Packet eavesdropping Fig. 1. Sniffing Concept 2.2 스니핑의원리스니핑의원리를이해하기전에먼저이더넷로컬네트워크의동작원리를이해해야한다 [2-5]. 이더넷로컬네트워크의모든호스트는동일한선을공유하도록설계되어있다. 즉같은네트워크내에있는컴퓨터는다른컴퓨터가통신하는트래픽을모두볼수있는것이다. 그래서 LAN상에서각각의호스트를구별하기위한방법으로써이더넷인터페이스는하나의 MAC주소를갖는다. 모든이더넷인터페이스는서로다른 MAC 주소의값을가진다. 따라서네트워크상의모든호스트들은 MAC 2.3 스니핑의공격기법과거의 Dummy Hub 환경과는달리현재의스위칭허브환경에서는이런스니핑툴을사용한다고해서패킷스니핑이되지않기때문에정상적인스위치환경이라면스니핑공격은불가능하다. 그러나이불가능을가능으로바꾸는공격기법이존재한다. 첫번째공격기법으로는 Switch Jamming 기법이있다. 스위치는문제가생기면모두허용해주는정책인 Fail Open을따르는장비이다. 스위치의이러한장비적특성은맥주소테이블을가득채우면모든포트로트래픽을전송하는특징을가지고있다 [3, 6-8]. Switch Jamming 공격기법은이특징을이용하여고의적으로변조한맥정보를담고있는 ARP Reply 패킷을전송하여맥주소테이블을가득채운다. 그리고스위치가 Dummy Hub처럼모든프레임을스위치의모든포트로전송하도록만들어서스니핑이가능한환경을만든다. 그리고공격자는이러한환경을이용하여자신의주소테이블을오버플로우시킨다. 그리고다른네트워크로거짓된맥주소를지속적으로네트워크에흘린다. 그럼으로써공격자는공격대상의네트워크세그먼트의데이 32
효율적인 Sniffing 공격대응방안연구 터를스니핑할수있게된다 [9,10]. Data transmission Data transmission External Data transmission 보내주는데이것을 ARP Reply 이라고한다. 그리고 ARP Redirect 공격은이 ARP Reply 를위조하여보내는방법을쓰는공격기법이다. 즉, 공격자호스트가위조된 ARP Reply 를네트워크에지속적으로브로드캐스트하고, 다른호스트들이공격자호스트를수신자호스트인것처럼속게만든다. 결국그림4와같이네트워크의모든트래픽은필터를통과하여공격자호스트에게도달하고공격자는스니퍼를하여필요한정보를빼낼수있게된다. Target attacker 1. Searching for IP 10.1.1.1 Fig. 3. Switch Jamming 이것은장치의문제점이아닌아주일반적인스위치의특징을이용한공격방법이다. 그러나이방법을사용하면스위치가 Dummy Hub처럼동작하므로공격자입장에서는통신속도가저하되는단점이있으며, 최근에는맥주소테이블을가득채우지않아도프레임을드랍시키는스위치기술이개발되어무용지물인공격법이되었다. 두번째공격기법으로는 Port mirroring 기법이있다. Port mirroring은다른말로 SPAN 라고도부른다. SPAN 이란어떠한특정포트에서특정분석장비에접속하고, 또다른포트의트래픽을해당분석장비로자동복사해주는기술을말한다. 사실 Port mirroring 의원래의목적은만약네트워크에이상이발생시이문제점을파악하기위해사용하였다. 그러나스위치에존재하는모든포트에서이동하는데이터들의정보를복제하여보내주는포트이기때문에이를역으로이용해공격자가트래픽을스니핑할수있는용이한환경을제공해준다. 세번째공격기법은 ARP Redirect 공격기법이다. 이공격기법을설명하기전에장상적인 ARP 프로토콜에대하여알아야한다. IP주소는 32bit이고 MAC 주소는 48bit이다. 그리고전송호스트가수신호스트에게패킷을보내기위해서는수신호스트의맥주소를알아야한다. 결국사용자는 IP주소를 MAC 주소로바꾸어야하는데이과정을 Address Resolution Protocol, 즉 ARP이라고한다. ARP의과정은다음과같다. 우선네트워크내의호스트들에게 ARP Request 를보낸다. 응답을받을수신자호스트의 IP를포함하고있는 ARP Request 는모든호스트들중 MAC주소가일치하는호스트를찾는다. 수신자호스트는송신자호스트에게자신의 MAC 주소를 Receiver Fig. 4. ARP Redirect 3. Fake MAC address to be delivered to attacker 2. Keeping spoofing my IP 10.1.1.1 attacker 네번째공격기법으로 ICMP Redirect 공격이있다. ICMP 이란 Internet Control Message Protocol의약자로네트워크내의에러가적힌메시지를전송하거나네트워크의흐름을통제하기위한프로토콜을말한다 [5]. 인터넷에는라우터의수보다더많은수의호스트가존재한다. 효율성을위해호스트는라우팅갱신에는참여하지않는데, 그이유는호스트의라우팅테이블을동적으로갱신하면트래픽이과하게많아지기때문이다. 그렇기때문에호스트는보통정적라우팅을사용하며, 라우터나특정게이트웨이를 default 게이트웨이로설정하여사용한다. 호스트가동작할때호스트라우팅테이블은한정된수의엔트리를가지고있다. 바로디폴트라우터의 IP주소를한개만가지고있는경우다. 그렇기때문에다른네트워크로데이터를보낼때호스트는잘못된라우터에게보낼수있다. 이럴경우데이터를받은라우터는데이터를올바른라우터에게전송해야하는데, 이때라우터는자신보다더좋은최적의경로가있다는뜻의메시지를호스트에게보내는데이것이 ICMP Redirect 메시지이다. 이방법을악용하는공격인 ICMP Redirect 공격은 3계층에서동작하는스니핑기법으로공격자는라우터가호스트에게 ICMP Redirect 메시지를보낼때공격대상에 33
중소기업융합학회논문지제 6 권제 2 호 게자신이라우터이고, 최적의경로라고변조된 ICMP Redirect 메시지를호스트에게보낸다. 그렇게공격대상은변조된메시지를받고가짜게이트웨이를거치게되므로취약점이발생하고, 공격자는그점을악용하어스니핑이가능해진다. hacking route normal route 구에네트워크스니퍼가사용되었다는사실이발표되었다. 보안전문업체인센티넬원의 CSO인메후드샤미르는당시발견된블랙에너지3이리버스엔지니어링을했으며, 매크로가악용된엑셀스프레드시트가네트워크스니핑툴이포함된페이로드를피해입은시스템에다운로드시킨것을밝혀냈다. 네트워크를스니핑함으로써공격자들은많은정보를얻어낼수있었다. 로그인정보는물론, 그렇게하기위해패치되지않은오피스가설치된시스템을찾은것으로보인다 [13,15]. Target 3. Sniffing 공격대응방안 Attacker transmission Fig. 5. ICMP Redirect 2.4 스니핑의공격사례영화 타짜 에서나올법한사기도박수법이 pc온라인게임에등장해화제가되었다. 상대의패를미리확인하기위해스니핑공격을시도, 패를확인하거나바꾸는방식에의해해킹피해를당했다는사례가늘어나고있다. 현재알려진것으로는해커들이스니핑공격을통해일반유저들의패를가로챈뒤임의적으로승부를조작하고있는것으로알려져있다. 스니핑공격에피해를당했다고주장하는게이머들은 카드게임중정해진패턴이반복되는경우가많다 등의사기도박을의심하고있다 [6-8]. 2.5 하나은행해킹시도서울지방경찰청에구속된이모 (50) 씨등이하나은행해킹시도에스니핑을사용하였다. 이씨일당은하나은행외부고객용 PC관리자번호를확보했고, 본격적인은행전산망침투를 12차례시도하던중다행이검거됐다. 경찰은다른은행돌도대부분인터넷뱅킹에 AP를사용하고있기때문에이런공격에주의해야한다고밝혔다 [11-14]. 2.6 우크라이나정전사태.. 도구는스니퍼지난 12월우크라이나대규모정전사태에사용된도 스니핑공격을방어하는방법중가장좋은방법은데이터를암호화하여스니핑을당하더라도내용을볼수없게만드는방법이다. 암호화의방법중하나는 SSL이다. SSL은 Secure Sockets Layer의약자로, 웹서버와웹브라우저사이의보안을위해중요한데이터를전송할때사용되는인터넷통신규약프로토콜이다. 인터넷프로토콜이보안면에서기밀성유지에부족하다는문제를극복하기위해개발되었으며, 현재전세계에서보안유지에가장많이사용되는프로토콜이다. 기밀성, 무결성, 인증, 암호화, 웹서버의인증등많은보안을담당하고있다. 첫번째로는스위칭환경의네트워크구성을관리하는것이다. 스위치를설정할때, 스위치의주소테이블을정적설정하여스위칭환경의스니핑을막을수있다. 아래의 Table 1 같이스위치의각포트에대해맥주소를정적으로대응시킨다면 ARP Redirect 공격을막을수있다. 이방법은보안관리에시간을많이소모하게되지만매우효과적이고강력한대응방법이다. Table 1. Switch Table Port MAC Permanence 1 0:60:2f:a3:9a:16 Yes 2 0:60:97:c4:f:3e Yes 3 8:0:20:79:c9:ea Yes 4 0:60:97:c4:f:3e Yes 두번째로는스니퍼탐지방법이다 [9]. 모든스니퍼는 promiscuous mode 를설정하여공격을실행한다. 따라서관리자는호스트가 promiscuous mode 로설정되어 34
효율적인 Sniffing 공격대응방안연구 있는지주기적으로검사하여스니퍼가실행되고있는시스템을탐지해야한다. 스니핑기술이고도화되는것과마찬가지로스니퍼를탐지하는방법도점점다양해지고있다. 스니퍼탐지에는 4가지방법이있다. 우선 ping을사용하는방법으로는, 스니퍼는 TCP/IP 스택에서동작하기에응답을받으면그에해당하는응답을전달해야한다. ping을이용한스니퍼탐지방법은의심가는시스템에게 ping을보내되맥주소를위장하여보내는방법이다. 세번째로는 ARP를이용하는방법이다 [10]. ping을이용하는방법과유사한방법이지만 non-broadcast 로위조된 ARP응답을보냈을때 ARP response라고온다면상대방호스트가 promiscuous mode 로설정되어있다는것이다. 네번째로는 DNS를이용하는방법이다. 스니핑프로그램은스니핑한호스트의 IP주소를보여주지않고도메인명을보여주기위해 Inverse-DNS lookup을수행하게된다. 이러한특성을이용해 DNS트래픽을감시하면스니퍼를탐지할수있다. 이방법은원격, 로컬네트워크모두에서사용할수있는방법이기도하다. 네번째는 decoy 방법이다. 스니퍼공격자는사용자 ID 와패스워드를도청하고도청한계정을이용하여다른시스템을공격한다 [16,17]. 따라서네트워크상에미리설정된계정을지속적으로흘려서공격자가이계정을사용하게만든다. 관리자는네트워크감시프로그램이나 IDS를이용하여미리설정된계정을사용하는시스템을탐지하여스니퍼를탐지할수있게된다. 4. 결론 Sniffing 공격은공격자가암호화되지않은패킷을가로채어사용자의금융정보, 개인정보등을알아내어손해를입히는공격을할수있다. 이러한 Sniffing의대표적인공격방법으로는 Switch Jamming, Port mirroring, ARP Redirect, ICMP Redirect 등이존재한다. 이러한공격들의대응법으로는 SSL을통한패킷의암호화, 스위칭환경의네트워크구성관리, DNS를이용하는방법, decoy방법등이있으며, 관리자는점검을자주해야하고새로운대응법을항상공부하해야하고, 사용자들은출처나정보가불확실한프로그램의사용을멀리하고보안업데이트를통해취약점을보안함으로써보안을높일수있다. 제안된프로토콜의효율성을보장하기위한시뮬레이션을통한기존프토로콜의비교연구는향후연구에서진행할예정이다. ACKNOWLEDGMENTS 이논문은 2016학년도백석대학교대학연구비에의하여수행된것임. REFERENCES [1] J. Born, T. Lange, W. Kern, G. P. McGregor, U. Bickel and H. L. Fehm, Sniffing neuropeptides: a transnasal approach to the human brain, Nature neuroscience, Vol. 5, No. 6, pp. 514-516, May. 2002. [2] N. Sobel, V. Prabhakaran, J. E. Desmond, G. H. Glover, R. L. Goode, E. V. Sullivan, J. D. Gabrieli, Sniffing and smelling: separate subsystems in the human olfactory cortex. Nature, Vol. 392, No. 6673, pp. 282-286, May. 1998. [3] D. Song, D. Brumley, H. Yin, J. Caballero, I. Jager, M. G. Kang, Z. Liang, J. Newsome, P. Poosankam, and P. Saxena, BitBlaze: A new approach to computer security via binary analysis, Information systems Security, LNCS 5352, pp. 1-25, Dec. 2008. [4] J. Caballero, S. McCamant, A. Barth, and D. Song, Extracting models of security-sensitive operations using stringenhanced white-box exploration on binaries, EECS Department, University of California, Berkeley, Tech. Rep. UCB/EECS-2009-36, Mar 2009. [5] B. S. Thakur and S. Chaudhary, Content Sinffing Attack Detetion in Client and Server Side: A Survey, International Journal of Advanced Computer Research, Vol. 3, No. 2, pp. 7-10, Jun. 2013. [6] P. Godefroid, M. Y. Levin and D. Molnar, Automated whitebox fuzz testing, Proceedings of the Annual Network and Distributed System Security Symposium, San Diego, California, pp. 1-16, 2008. [7] P. Noiumkar, Top 10 Free Web-Mail Security Test Using Session Hijacking, Proceeding of 2008 International Conference on Convergence and hybrid Information Technology, Vol. 2, pp. 486-490, 2008. [8] L. B. Noe, The Software Architecture of A Secure and 35
중소기업융합학회논문지제 6 권제 2 호 Efficient Group Key Agreement Protocol, Journal of Convergence Society for Small and Medium Business, Vol. 4, No. 3, pp. 21-58, Sep. 2014. [9] N. Bjorner, N. Tillmann and A. Voronkov, Path feasibility analysis for string-manipulating programs, Proceedings of the International Conference on Tools and Algorithms for the Construction and Analysis of Systems 2009(TACAS 2009), LNCS 5505, pp. 307-321, 2009. [10] S. H. Lee and D. W. Lee, A Study on Internet of Things in IT Convergence Period, Journal of Digital Convergence, Vol. 12, No. 7, pp. 267-272, Jul. 2014. [11] K. J. Lee and K. H. Lee, A Study of Security Threats in Bluetooth v4.1 Beacon based Coupon Convergence Service, Journal of the Korea Convergence Society, Vol. 6, No. 2, pp. 65-70, Apr. 2015. [12] T. Hoppe and J. Dittman, Sniffing/Replay Attacks on CAN Buses: A simulated attack on the electric window lift classified using an adapted CERT taxonomy, Proceedings of the 2nd workshop on embedded systems security (WESS), pp. 1-6, 2007. [13] A. Kiezun, V. Ganesh, P. J. Guo, P. Hooimeijer and M. D. Ernst, HAMPI: A solver for string constraints, MIT CSAIL, Tech. Rep. MIT-CSAIL-TR-2009-004, 2009. [14] C. Cadar, V. Ganesh, P. M. Pawlowski, D. L. Dill and D. R. Engler, EXE: Automatically generating inputs of death, Proceedings of the 13th ACM Conference on Computer and Communications Security, pp. 322-335, 2006. [15] J. H. Soo and G. S. Chae, Detection of Forgery of Mobile App and Study on Countermeasure, Journal of Convergence for Small and Medium Business, Vol. 5, No. 3, pp. 27-31, Sep. 2015. [16] K. Moore, RFC 2047: Multipurpose Internet Mail Extensions (MIME) part three: Message header extensions for non- ASCII text, 1996. [17] B. C. Kim, A study on Utilization of Big Data Based on the Personal Information Protection Act, Journal of Digital Convergence, Vol. 12 No. 12, pp.87-92, Dec. 2014. 저자소개홍성혁 (Sunghyuck Hong) [ 종신회원 ] 1995년 2월 : 명지대학교컴퓨터공학과 ( 학사 ) 2007년 8월 : Texas Tech University, Computer Science (Ph.D.) 2007년 9월 2012년 2월 : Senior Programmer, Texas Tech University, Office of International Affairs 2012년 3월 현재 : 백석대학교정보통신학부교수 < 관심분야 > : 네트워크보안, 해킹, 센서네트워크서유정 (Yujeong Seo) [ 학생회원 ] 2013년 2월 : 대전성모여자고등학교졸업 2013년 3월 ~ 현재 : 중부대학교정보보호학과재학 < 관심분야 > : 네트워크보안, 정보보호 36