우리가 일반적으로 사용하는 네트워크 환경이 보안에 취약하다는 것은 대부분 다 알고 계실것입니다.

즉 네트워크를 타고 다니는 (일반적인 대부분의) 패킷들은 암호화 되어 있지 않으며 누군가 중간에서 가로채어 내용을 들여다 볼 수 있다는 얘기입니다. 이것을 스니핑sniffing이라고 하는데요.

내 피씨에서 나가는 데이터와 내 피씨로 들어오는 데이터는 같은 허브(쉽게 말하면 가정에서 쓰는 공유기 비슷한...)에 물려있는 피씨들은 그러한 데이터를 모두 수신할수 있는 상태가 됩니다. 단 정상적인 경우 자기 피씨로 오는 정보가 아니므로 남의 데이터를 받아 들이지 않을 뿐이죠. 하지만 다른 목적에 의해서 무조건 자기 피씨로 오는 트래픽들을 모두 받아 들인다면?...

네 그런 경우 옆사람이 보내고 받는 트래픽을 모두 내 피씨에서 수신할 수 있습니다. 옆사람이 암호화 되지 않은 사이트에 로그인하는 경우에 아이디와 패스워드를 뽑아낼수도 있고 어떤 사이트를 조회하는지 그 사이트의 내용, 메신저 메시지, pop메일 등이 그대로 노출됩니다.

더욱더 위험한것은 이런 스니핑을 하고자할때 사용하는 툴이 상당히 많다는 겁니다. 사용법도 쉽구요. 이러한 툴들이 없다면 트래픽에서 원하는 정보를 뽑아내기가 쉽지는 않을겁니다. 하지만 다양한툴들이 다양한 기능을 지원하고 있습니다.

어떤 툴은 스니핑 된 트래픽중에서 아이디와 패스워드로 추정되는 정보만 추려서 보여주는 기능도 있고 어떤툴은 다른 사람이 보고 있는 웹페이지를 내 피씨에 그대로 생성해서 쉽게 열어볼수 있게하는 기능도 있더군요.

하지만 스위치라는게 있습니다. 이건 일반 허브와 다르게 같은 장비에 물려있는 피씨들 모두에게 트래픽을 무차별로 뿌려주지 않습니다. 목적지에 해당하는 피씨에만 해당 트래픽을 뿌려줍니다.

이런경우 일반적인 스니핑 방법으로는 스니핑이 되지 않습니다. 스위치가 분별해서 트래픽을 보내주기때문입니다.

하지만 이런 경우에도 스니핑을 가능하게 해주는 방법이 있습니다. 바로 가짜 arp를 날려서 상대방의 네트? 어뎁터를 속이는 방법입니다. 즉 상대pc에게 공격자의 pc가 스위치인것처럼 위조된 맥주소를 주기적으로 보냅니다. 그리고 스위치에게는 공격자의 pc가 상대pc인것처럼 또한 위조된 맥주소를 주기적으로 보냅니다.

이렇게 되면 스위치와 공격대상pc는 서로 데이터를 주고받을때 항상 공격자의 pc를 경유하게 되는 것입니다. 설명은 거창하지만 사실 이런것도 툴로서 간단히 클릭하면 수행할수 있는것입니다.



너무 길어졌네요. 대책을 말씀드립니다. 될수있으면 암호화를 지원하는 방법을 사용하세요 예를 들면
Valid XHTML 1.0! Valid CSS! powered by MoniWiki
last modified 2008-08-27 17:32:32
Processing time 0.0101 sec