[정보보안] 스위치 환경에서 스니핑(sniffing)하는 여섯 가지 방법

스위치(L2 스위치, 스위칭 허브)를 사용하는 환경에서는 통상적으로 스니핑(sniffing)이 불가능하지만, 아래 방법으로 가능할 수도 있다.(“스니핑(Sniffing) 공격을 탐지하는 기술“을 함께 읽으시면 좋습니다.)

1. Switch Jamming(MAC flooding)
   • 스위치의 MAC address table을 꽉 채워서 스위치가 허브처럼 동작하게 강제적으로 만들어 패킷을 스니핑하려는 기법을 말한다. 일반적으로 공격자는 MAC address table을 채우기 위해 변조한 MAC 정보를 담고 있는 ARP reply 패킷을 계속해서 전송한다.
2. ARP spoofing / ARP cache poisoning
   • 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP reply 패킷을 만들어 희생자에게 지속해서 전송하면 희생자의 ARP cache table에 있는 특정 호스트의 MAC 주소가 공격자의 MAC 주소로 변조된다. 이를 통해서 희생자로부터 특정 호스트로 나가는 패킷을 공격자가 스니핑하는 기법이다.
3. ARP redirect
   • 공격자가 자신이 라우터인 것처럼 MAC 주소를 위조한 ARP reply 패킷을 해당 네트워크에 브로드캐스트하면 해당 네트워크에 연결된 모든 호스트의 ARP cache table에 있는 라우터의 MAC 주소가 공격자의 MAC 주소로 변조된다. 이를 통해서 희생자로부터 외부 네트워크로 나가는 패킷을 공격자가 스니핑하는 기법이다.
4. ICMP redirect
   • ICMP redirect 메시지는 라우터에서 호스트 또는 라우터 간에 라우팅 경로를 재설정하기 위해 전송하는 메시지이다. 공격자는 이를 악용하여 특정 IP 또는 네트워크 대역으로 나가는 패킷의 라우팅 경로를 자기 주소로 위조한 ICMP redirect 메시지를 생성하여 희생자에게 전송함으로써 희생자의 라우팅 테이블에 공격자로 향하는 경로를 생성한다. 이를 통해서 특정 IP 또는 네트워크 대역으로 나가는 패킷을 공격자가 스니핑하는 기법이다.
5. Switch의 SPAN/Mirror 포트를 이용(Port mirroring 기능 이용)
   • 원래 SPAN/Mirror 포트는 스위치를 통과하는 모든 트래픽을 볼 수 있는 포트로 네트워크 관리 목적이지만 공격자가 트래픽을 스니핑하는 좋은 장소를 제공한다.
6. TAP(Test Access Point) 장비 이용 – 추가한 사항입니다.
   • TAP 장비는 네트워크의 두 지점 사이에 설치되어, 그 지점 사이를 통과하는 원본 트래픽을 복사하여 모니터링 포트로 보낸다. 모니터링 포트에 스니핑 장비를 연결함으로써 두 지점 사이의 모든 패킷을 공격자가 스니핑하는 기법이다.

출처: 2024 알기사 정보보안기사[산업기사] 실기 03.문제편 (198 페이지)