[Day 35] Switch 환경에서의 Sniffing 공격 기법 5가지

스위치 환경에서는 기본적으로 목적지로만 패킷을 전송하기 때문에 스니핑이 불가능하므로, 아래와 같은 공격을 통해 스니핑 시도

Switch Jamming/MAC Flooding Attack

• Switch MAC Address Table의 buffer를 Overflow 시켜서 Switch가 Hub처림 동작하게 만드는 기법
• MAC Address Table을 Overflow시키기 위해 source MAC 주소를 계속 변경하면서 패킷을 지속적으로 전송

 

ARP Spoofing Attack

• 공격자가 특정 호스트의 MAC 주소를 공격자의 MAC 주소로 위조한 ARP Reply 패킷을 만들어서 희생자에게 지속적으로 전송 -> 희생자의 ARP Cache Table에 특정 호스트의 MAC 정보가 공격자 MAC 주소로 변경됨
• 이를 통해 희생자가 특정 호스트에게 보내는 패킷을 스니핑 할 수 있음
• 희생자가 스니핑을 인식할 수 없도록 IP Forwarding 기능을 활성화

 

ARP Redirect Attack

• 공격자가 자신이 Router/Gateway인 것처럼 MAC주소를 위조하여 ARP Reply 패킷을 대상 네트워크에 지속적으로 Broadcast -> 해당 로컬 네트워크의 모든 호스트의 ARP Cache Table에 Router/Gateway MAC 주소가 공격자 MAC 주소로 변경됨
• 이를 통해 호스트에서 라우터로 나가는 패킷을 공격자가 스니핑할 수 있음
• 희생자가 스니핑을 인식할 수 없도록 IP Forwarding 기능을 활성화

 

ICMP Redirect Attack

• ICMP Redirect Message는 호스트-라우터 or 라우터-라우터 간에 라우팅 경로를 재설정하기 위해 전송하는 메시지
• 공격자가 특정 IP 대역으로 나가는 패킷의 라우팅 경로를 자신의 주소로 위조한 ICMP Redirect Message를 희생자에게 전송 -> 희생자의 라우팅 테이블 변조

 

SPAN(Switch Port Analyzer)/Port Mirroring Attack

• 스위치의 SPAN/Port Mirroring을 스위치를 통과하는 모든 트래픽을 볼 수 있는 기능
• 특정 포트에 분석 장비를 접속하면 다른 포트의 트래픽을 분석장비로 자동 복사해줌
• 공격자가 물리적으로 해당 포트에 접근할 수 있다면 손쉽게 스니핑 가능

 

---

※ 참고

알기사 정보보안기사 실기 교재