74. 스니핑(Sniffing)

74. 스니핑(Sniffing)

1. 스니핑 개요

• 네트워크로 전송되는 패킷(Packet)을 훔쳐보는 도구
• 네트워크 관리자가 네트워크 장애를 식별하고 조치하기 위해 사용되던 도구
  • 네트워크에 참여하는 송신자와 수신자 사이에 정상적으로 패킷이 전송되는지 확인할 수 있음.
• 유선 및 무선 데이터 통신의 내용을 몰래 도청하는 행위 및 소프트웨어
• 수동적(Passive) 공격 형태
• 스니핑은 공격 도구로도 사용할 수가 있음.
  • 송신자와 수신자의 패킷을 훔쳐보아서 송신자와 수신자의 IP 주소, 포트(Port) 번호 및 송수신되는 메시지까지 확인이 가능함.

 

2. 스니핑 모드

• 스니핑 도구를 실행시키면 기본적으로 Normal Mode 로 실행됨.
  • 자신의 컴퓨터를 전송되는 패킷만 수신 받음.
  • 자신과 관련 없는 패킷은 삭제(Drop)함.
• 네트워크에 흘러 다니는 모든 패킷을 모니터링할 때
  • Promiscuous Mode 로 설정

# ifconfig eth0 promisc        // 이더넷(Ethernet)을 Promiscuous 모드로 실행하게 함.
# ifconfig

 

3. tcpdump

• 스니핑을 할 수 있는 도구 중 하나
• tcpdump를 실행시켜서 전송되는 패킷을 모니터링하려면 다음과 같이 사용하면 됨.

# tcpdump -c 5            // 5개의 패킷에 대해서 스니핑을 하도록 설정하고 실행   -> ARP와 IP 패킷 모니터링

# tcpdump -i eth0        // 특정 인터페이스에 대해 스니핑 하도록 실행

• tcpdump 옵션
  • -c : Count 수 만큼 패킷을 받음.
  • -e : MAC 주소 형태로 출력
  • -F : File에 Expression을 입력
  • -i : 특정 인터페이스 지정
  • -q : 간결하게 표시
  • -w : 패킷을 파일로 저장
  • -r : 저장한 파일을 읽음.
  • -t : Timestamp
  • -v : 자세히 표시

 

4. SSL 패킷 스니핑

• SSL로 암호화된 데이터를 송신하는 경우, 스니핑으로 훔쳐보면 어떻게 될까?
• 예) 네이버 로그인 과정
• SSL로 암호화 되어도 IP 주소 및 포트 번호는 확인 가능함.

 

스니핑의 용도

• 네트워크 패킷을 모니터링 해서 송신자와 수신자의 IP 주소를 획득함.
• 포트 번호를 식별하고 송수신되는 메시지 확인
• 클라이언트에서 전송된 패킷에 대해서 서버가 어떤 식으로 반응하는지 알 수 있음.

 

---

 

내용 출처 : 이기적 네트워크관리사 1·2급 필기 (임호진, 황성하 공저, 영진닷컴)