패킷 스니핑: 네트워크 보안

이더넷 환경은 크게 공유 이더넷(Shared Ethernet)과 스위치 이더넷(Switched Ethernet)으로 구성되며, 환경에 따라 스니핑할 수 있는 용량이 다릅니다. 패킷 스니핑의 기본 요구 사항은 네트워크 카드의 도촬 모드입니다. 일반적으로 인터페이스 카드는 수신된 패킷이 카드 자체로 향하지 않는 경우 수신된 패킷을 폐기하지만 무차별 모드에서는 패킷과 관련된 모든 정보를 허용하므로 의도한 목적에 따라 잘못 사용될 수 있습니다.

• 공통 이더넷: 동일한 네트워크에 연결된 모든 호스트는 동일한 대역폭을 공유합니다. 이 경우, 호스트 간에 데이터가 전송되면 해당 호스트뿐만 아니라 연결된 다른 모든 호스트에도 데이터가 전송되는 문제가 있습니다.
• 스위치 환경 이더넷: 허브가 아닌 스위치로 구성된 이더넷을 가리키는 용어입니다. 스위치는 연결된 호스트와 MAC 주소가 위치한 물리적 포트와 관련된 MAC 주소 정보를 알고 있습니다. 공유 이더넷 방식과 달리 호스트가 이러한 스위치의 지능형 기능을 통해 서로 통신할 때 스위치는 대상 호스트의 MAC 주소를 검색하고 물리적으로 연결된 포트에만 데이터를 전송합니다. 결과적으로 데이터는 연결된 모든 호스트로 전송되지 않습니다.
  
  

패킷 스니핑의 보안 위협

보안 관련 패킷 스니핑의 문제점은 공격자가 네트워크에 대한 정보를 수집하고 분석할 수 있다는 것입니다. 많이 사용하는 프로토콜 중 Telnet, SNMP, POP, FTP, IMAP, NNTP 등은 주로 텍스트 데이터로 구성된 프로토콜이므로 해당 프로토콜에 필수적인 계정과 비밀번호가 공개될 확률이 높습니다. IM(Instance Messenger)은 최근 커뮤니케이션 및 비즈니스 목적으로 인기가 높으며, 커뮤니케이션 내용이 평이하게 전달되기 때문에 개인정보가 유출될 위험도 있습니다. 트래픽을 스니핑하는 수많은 Unix 기반 도구(예: Tcp dump, Ethereal, Dsniff, Snort, Sniffit 및 Trinux)와 동일한 작업을 수행하는 수많은 Windows 기반 도구(Ethereal, Windump, Network Associates Sniffer 등)가 있습니다. EtherPeek 및 분석기. 도구의 지능을 통해 트래픽을 디코딩할 수 있습니다. 작업에 앞서 전문 지식 없이도 수집된 데이터를 간단하게 분석하고 이해할 수 있도록 기능을 강화했습니다. 디코딩 기능은 스니퍼로부터 각 패킷에 의해 수집된 정보를 집계하여 이를 완전한 프로필로 변환하는 절차입니다. 예를 들어 Telnet 비밀번호가 abc라고 가정하면 스니퍼를 통해 볼 수 있는 내용은 a, b, c이지만, 디코딩 기능을 사용하면 abc가 모두 조합에 포함됩니다. 이는 수집된 수많은 패킷을 모두 하나씩 찾아서 결합하는 문제를 자동으로 해결하여 사용자의 프로세스를 용이하게 합니다.

패킷 스니핑 보안 대책

첫째, 공유 이더넷 네트워크인 허브를 사용하는 구성에서는 이를 전환하는 장비로 교체해야 합니다. 네트워크 규모와 운영 성격에 따라 저가형, 소규모 스위치부터 대용량, 고성능, 고가형 스위치까지 다양한 유형의 스위치를 사용할 수 있습니다. 적절한 유형을 선택할 수 있습니다. 스위치를 제거하면 검출기만을 사용하여 단순 검출하는 위험을 피할 수 있습니다.

둘째, 전환되는 이더넷 환경도 안전하지 않습니다. 이는 시스템 해킹을 시도하고 청취를 활성화하는 MAC 플러딩 및 ARP 스푸핑과 같은 공격 방법이 있기 때문입니다. 네트워크 관리자는 무차별 모드의 네트워크 카드가 있는지 또는 공격이 있는지 정기적으로 확인해야 합니다.

핑 방식: 의심되는 호스트에게 핑을 요청합니다. 일반적인 호스트의 경우 MAC 주소가 관련이 없기 때문에 응답이 없어야 하지만, 무차별 모드의 하이재킹 호스트는 MAC 주소를 비교하여 패킷을 폐기하지 않으므로 응답을 보냅니다. 그러나 이러한 접근 방식은 오늘날 구식이며 효과적이지 않습니다.

ARP 방식: 호스트는 ARP 데이터를 저장(임시 저장)합니다. 브로드캐스트되지 않은 ARP가 전송되면 공격하는 호스트는 ARP 주소를 바꿔서 동일한 IP로 ping 패킷을 발행하지만 이번에는 MAC 주소가 이전 주소와 다릅니다. 공격자만이 스니핑된 ARP 데이터를 통해 일반적인 MAC 주소로 응답합니다.

로컬 호스트 확인: 공격으로 인해 특정 호스트가 프로미스큐어스 모드로 작동하고 있을 가능성이 있습니다. ifconfig 명령을 통해 확인할 수 있습니다. 프로미스큐어스 모드로 동작하고 있다면 "RUNNING PROMISC"라는 문구를 확인할 수 있다.

지연 접근법: 이 접근법은 간단하며 기본적으로 원칙을 기반으로 합니다. 대부분의 스니퍼가 디코딩 중이라는 가정하에 네트워크에 많은 양의 정보를 중계하고, 의심되는 호스트로 데이터를 전송하기 전과 도중에 핑 테스트를 수행합니다. 호스트가 무차별 모드인 경우 많은 양의 데이터를 이해해야 하므로 부하가 증가하고 ping 패킷에 대한 응답 시간이 늘어납니다. 그러나 이러한 접근 방식은 네트워크 지연을 비롯한 다양한 환경적 요인에 따라 달라지므로 결과가 잘못 해석될 가능성이 있습니다.
셋째, 스니핑 탐지를 위한 전용 도구를 사용해야 합니다. ARP Watch(MAC 주소 및 IP 주소 식별 및 모니터링, 유사성 감지 및 경고 출력 등), Anitsniff(스니퍼 감지 도구), CPM(무차별 모드 확인), Neped(네트워크에서 패킷 스니퍼의 동작 모니터링)입니다. 전문적인 탐지 도구를 이용하여 불법 공격자를 식별하는 것이 가능하며 이는 효과적인 접근 방식이라고 할 수 있습니다.

넷째, IDS를 활용합니. 이는 스니핑 및 기타 공격을 모두 방지하는 성공적인 보안 조치입니다. IDS는 침입은 물론 다중 공격까지 탐지하는 시스템이다. 대부분의 제품은 상업적 또는 비상업적 방식으로 판매 및 판매됩니다.

다섯째, 장비의 안전 설정을 강화해야 한다. 각 네트워크 장치 제조업체의 보안 기능을 활용하고 정확하게 구성하면 공격 가능성을 줄일 수 있습니다.

여섯째, 스니핑 위험이 항상 존재한다는 점을 기억하고 대형 장비나 시스템에 액세스할 때 SSL 및 SSH와 같은 프로토콜을 활용하면 도둑이 스니핑을 통해 정보를 얻더라도 암호화된 콘텐츠에만 액세스할 수 있습니다.

마지막으로 가장 중요한 점은 스위치 환경의 기본 요구 사항은 내부 물리적 링크가 있어야 한다는 것입니다. 공격자는 네트워크에 접근할 수 있어야 하므로 보안을 확보하기 위해서는 물리적 보안과 네트워크 관리가 모두 필요합니다.