Top 22 스니퍼 Quick Answer

See more articles in the same category here: toplist.maxfit.vn/blog.

스니퍼(Sniffer)란

스니퍼는 네크워크의 한 호스트에서 실행되어 그 주위를 지나 다니는 패킷들을 엿보는 프로그램으로서

계정과 패스워드를 알아 내기 위해서 침입자들에 의해 자주 사용되는데 아무리 네트워크 보안에 신경을 쓴

호스트라도 주변의 호스트가 공격당해서 스니 핑을 위해 사용된다면 무력해질 수 밖에 없다. 이해를 돕기

위해 실제 스니핑 세션을 가지고 설명한다. mordor# ./sniffit

Log started at => Mon Apr 8 20:29:04 [pid 10937]

— TCP/IP LOG — TM: Mon Apr 8 20:29:44 —

PATH: rohan.kaist.ac.kr(1270) => gondor.kaist.ac.kr(telnet)

STAT: Mon Apr 8 20:29:48, 30 pkts, 77 bytes [TH_FIN]

DATA: (255)(253)^C(255)(251)^X(255)(251)^_(255)(251)

(255)(251)!(255)(251)”(255)(253)^E(255)(251)#(255)(251)$(255)(250)^X : IRIS-ANSI-NET(255)(240)(255)(253)^A(255)(252)^Aaragorn

: evenstar

: cls

: du -s -k *

: elm awen — TCP/IP LOG — TM: Mon Apr 8 20:31:57 —

PATH: mordor.kaist.ac.kr(2389) => gondor.kaist.ac.kr(telnet)

STAT: Mon Apr 8 20:32:24, 106 pkts, 128 bytes [DATA LIMIT]

DATA: (255)(253)&(255)(251)&(255)(253)^C(255)(251)^X(255)(251)^_(255)(251)

(255)(251)!(255)(251)”(255)(251)$(255)(253)^E(255)(251)#(255)(250)^_ : P

: ^X(255)(240)(255)(250)

: 9600,9600(255)(240)(255)(250)^X

: XTERM(255)(240)(255)(253)^A(255)(252)^Agaladriel

: shwjdtjr=JD

:

: setenv DISPLAY rohan.kaist.ac.kr:0.0

: ne 위는 스니퍼 프로그램을 돌린 결과이다. gondor, mordor, rohan은 M학과의 전산실의 기계들인데 이미

침입자는 mordor에서 루트 권한을 따냈었고 스니퍼 프로그램을 실행시키고 있다(스니퍼가 동작하기

위해서는 네크워크 디바이스의 조작이 필요한데 이는 루트(시스템 관리자)만이 할 수 있다). 그렇다면

물리적인 네크워크 구도에서 인접해있는 호스트들은 모두 스니핑을 당하게 된다 .

처음 블럭에서 rohan에서 gondor로 aragorn이라는 계정으로 telnet 로긴을 한 것이 잡혔는데 이때 패스워드가

evenstar임을 알 수 있다. 그리고 로긴 직후에 실행한 몇몇 명령까지 잡혔다. 일반적으로 스니퍼 프로그램은

비교적 작은 크기의 제한된 버퍼를 사용하는데 필요에 따라 그것을 늘이기도 한다. 이더넷의 설계상 약점과 네트워크 스니퍼의 원리 가장 일반적인 LAN의 구성 방법은 이더넷을 사용하는 것으로 주변에서 가장 쉽게 접하는 경우이다.

이더넷을 통한 통신 방법은 매우 간단하다. A라는 호스트가 B라는 호스트로 패킷을 보내고 싶다면 호스트

A는 B와의 배타적인 연결을 통하는 것이 아니라 그 패킷을 이더넷에 뿌린다. 그리고 그 패킷은 일반적으로

수신 주소의 호스트만이 받도록 기대된다. 즉 일반적으로 자신에게 오지 않는 패킷은 받지 않으므로 호스트

B만이 A가 보내는 패킷을 받게 된다.

그러나 그것은 기대 사항일 뿐 언제라도 깨어질 위험부담을 안고 있는 프로토콜이다. 네크워크 디바이스는

자신에게 오지 않고 다른 호스트를 향해 지나가는 패킷까지 받는 상태에 들어갈 수 있는데, 그때를

‘Promiscuous mode’라고 부른다. 스니퍼는 바로 그 상태에서 동작한다. 이렇게 네트워크의 설계상의 커다란

약점이 있기 때문에 스니퍼에 의한 공격은 치명적이며 일부 OS를 제 외하고는 찾아내기가 곤란한 경우가

많고 막기 위해서도 많은 부담이 따른다. 스니퍼의 설계 스니퍼는 너무나 쉽고, 비열하게 해킹을 할 수 있기 때문에 해커들 간에서는 스니퍼를 이용하는 해커를 3류

취급해 상대도 하지 않는다. 이처럼 스니퍼는 해커들 사이에서조차 금기(?)시되는 치사한 프로그램이지만

그 자체로는 아주 훌륭한 네크워크 프로그 램이다. 실제로 대부분의 네트워크 분석 프로그램들은

Promiscuous mode에서 동작하며 또 그럴 수밖에 없다.

그리고 스니퍼의 핵심을 이루는 코드는 대부분의 OS에서 독립된 프로토콜로서 지원을 하는데 SunOS의

NIT, IRIX의 SNOOP이 좋은 예이다. 잘만 이용하면 침입자들을 상대하는 관리자들에게 큰무기가 될 수

있다. 네트워크를 감시하는 데 사용할 수 있다는 말 이다.

netlog(ftp://ftp.cert-kr.or.kr/pub/tools/etc/netlog/netlog-1.2.tar.gz)라는 좋은 툴이 이미 있다. 이 툴의 성격을 잘

말해주듯이 telnet과 ftp의 모듈은 제외돼 있다. 패스워드 스니핑에 사용되는 것을 막기 위함일 것이다.

스니퍼는 일반적으로 다음과 같은 일련의 동작을 하는 코드로 구성된다. 네트워크 디바이스를 열어서 Promiscuous mode로 만든다.

지나가는 모든 패킷을 읽는다.

패킷을 필터링해서 발신 및 수신 주소, 서비스(telnet, rlogin, ftp, smtp 등), 그리고 계정과 패스워드가 포함된

데이터를 구분해서 출력한다.

3번의 기능을 하는 코드가 생략된 스니퍼 소스를 참고로 소개한다. IRIX에서 SNOOP을 사용해 제작되었다. /* sgisniff.c by [email protected]

uses SNOOP(7P)

tested on IRIX 5.2, 5.3 */

#include

#include

#include

#define ETHERHDRPAD RAW_HDRPAD(sizeof(struct ether_header))

struct etherpacket { struct snoopheader snoop;

char pad[ETHERHDRPAD];

struct ether_header ether;

char data[ETHERMTU]; };

main()

{ int s;

struct sockaddr_raw sr;

struct snoopfilter sf;

struct etherpacket ep;

int cc = 60000, on = 1;

char buf[100];

s = socket(PF_RAW, SOCK_RAW, RAWPROTO_SNOOP);

sr.sr_family = AF_RAW;

sr.sr_port = 0;

strncpy(sr.sr_ifname, “ec0”, sizeof sr.sr_ifname);

bind(s, &sr, sizeof sr);

memset((char *)&sf, 0, sizeof sf);

ioctl(s, SIOCADDSNOOP, &sf);

setsockopt(s, SOL_SOCKET, SO_RCVBUF, (char *) &cc, sizeof cc);

ioctl(s, SIOCSNOOPING, &on);

for (;;) { cc = read(s, (char *) &ep, sizeof ep);

write(1, (char *)&ep, sizeof ep);

sleep(2); } } 스니퍼, 그 대책과 예방 스니퍼 탐지 스니퍼는 Promiscuous mode에서 동작하기 때문에 네크워크 디바이스의 상태 플래그에 ‘PROMISC’가 있다면

일단 스니퍼가 돌고 있다고 생각해도 좋다. SunOS 4.1.x 같은 BSD 계열의 유닉스나 IRIX에서는 ‘ifconfig’를

사용해서 스니퍼의 존재를 확인할 수 있 으나 대부분의 다른 유닉스(특히 Solaris)에서는 그것이 불가능하다. [baikdu:/circ/kus/poison 2 ] uname -a

SunOS baikdu 4.1.3-KL 3 sun4m

[baikdu:/circ/kus/poison 3 ] ifconfig le0

le0: flags=163 inet 143.248.1.8 netmask ffffff00 broadcast 143.248.1.0 [eru:/eldar/people/poison 16 ] uname -a

IRIX eru 5.3 11091812 IP22 mips

[eru:/eldar/people/poison 17 ] ifconfig ec0

ec0:

flags=d63 inet 134.75.100.53 netmask 0xffff0000 broadcast 134.75.255.255 SunOS 4.1.3, IRIX 5.3 에서 스니퍼 프로그램을 실행시키면서 ifconfig로 확인하면 다음과 같다.

두 기계에서 모두 flags를 나타내는 행에 ‘PROMISC’가 있는 것으로 스니퍼가 확인된다. SunOS 4.1.x에서

사용가능한 cpm이라는 프로그램이 있는데 ifconfig로 플래그를 조사하는 것과 같은 기능을 가진다.

일반적으로 스니퍼는 로그 파일을 만들어 데이터를 모은다. 따라서 그 로그 파일을 찾을 수 있으면 스니퍼를

찾기가 쉬어진다. 우선 다음과 같은 간단한 방법이 있다.

다른 호스트로 연결을 하면 스니퍼 로그 파일에 로그가 새로 만들어지게 되므로미리 만들어 두었던

/tmp/sniff_trap이란 파일을 기준으로 해 찾을 수가 있다. 단 빠른 결과를 위해 루트에서 프로세스의 우선권을

최대로 한다. 보다 확실히 하기 위해서 현재 열려져 있는 모든 파일의 리스트를 알 수 있다면 그 속에 스니퍼

로그 파일도 포함돼 있을 것이므로 스니퍼를 찾는데 도움이 된다. lsof(ftp://ftp.cert-kr.or.kr/pub/tools/lsof)

이라는 툴의 사용을 권한다.

스니퍼 로그 파일을 찾아 없앴다면 스니퍼 프로세스를 찾도록 노력해본다. 시스템을 리부팅하면 되겠지만

그보다 침입자를 추적 하고 싶다면 그 프로세스를 직접 찾아내는 것이 바람직하다. 루트로 실행되고 있는

프로세스중에서 수상한 것들을 찾는다. ./a.out, ./in.telnetd, in.uucpd 등으로 숨겨지는게 보통인데 알아내기

어렵잖다. # touch /tmp/sniff_trap

# telnet gondor.kaist.ac.kr

SunOS UNIX (gondor)

login: blah

Password:

Login incorrect

login:^D

Connection closed by foreign host.

# nice -19 find / -newer /tmp/sniff_trap -print BSD ps(/usr/ucb/ps)가 사용 가능하다면 e옵션을 추가해서 프로세스가 시작됐을 때의 환경변수를 알아내어

어떤 계정이 해킹에 사용됐는지를 알아낼 수 있다. 어떻게 예방해야 하나? 스니퍼에 대비하는 방법의 원칙은 패스워드가 네트워크를 통해 전달되지 않게 하는 것이다. 그것의 구현은

암호화를 이용하거나 (secure shell, kerberos) 패스워드를 대신하는 토큰을 이용(S/key)하는 것을 예로 들 수

있다. 그런 부류의 소프트웨어들은 상 당수가 제작돼있는데 그중 공개 소프트웨어인 ssh(Secure Shell:

http://www.cs.hut.fi/ssh)이 사용하기에 가장 무난하다 . 이것은 패킷을 암호화해 sshd(서버)에게 보내는

ssh,scp(클라이언트)가 telnet, rlogin, ftp를 대신하는 패키지이다.

스마트스니퍼 다운로드 및 사용법

스마트스니퍼?

스마트스니퍼란 들어오고 나가는 패킷들을 쉽고 간편하게 볼 수 있는 프로그램입니다

넷상에선 아이피 따는 프로그램으로 통명되고 있는 스마트스니퍼의 다운로드 방법과 사용방법을 공유하고자 합니다.

다운로드

스마트스니퍼가 서버의 아이피를 캡쳐 해 IP 를 따내어 디도스 공격을 하는 등등 주로 악용 목적으로 사용되는 것을 대부분 보았으며.. 이 때문에 인터넷에서 받는 스마트스니퍼에 바이러스를 원본 파일에 숨겨 실행 시 감염을 유도하는 글들이 있을 수 있습니다

그러니, 스마트스니퍼는 개발사인 Nirsoft 의 홈페이지에서 안전하게 다운 받을 수 있으며 프로그램들은 해당 제작사의 공식 홈페이지에서 안전하게 다운로드 받는것을 추천합니다.

위 링크로 이동해서 밑 사진의 위치를 찾은 후 클릭하시면 다운로드 받으실 수 있습니다.

32비트는 첫번째 링크를, 64비트는 3번째로 받아 압축을 해제 합니다.

사용방법

다운로드 받은 후 압축을 해제 했다면

smsniff.exe 를 실행해주세요

UI 는 척봐도 간단하게 생겼습니다.

초록색 재생버튼은 패킷 캡쳐 시작 버튼입니다

캡쳐 방법을 알아보기 위해 시작 버튼을 눌러주세요

이번엔 만만하게 보이진 않습니다

캡쳐 하기 위해 네트워크 장치를 선택하는 단계입니다.

캡쳐 방법(Capture Method)은 WinPcap Packet Capture Driver 로 선택해주시고 (비활성화 되있다면 Raw Socket 유지)

자신이 사용중인 네트워크 장치의 이름을 아신다면 해당 장치를 선택 후 OK 를 눌러줍시다

필자는 Realtek PCIe GBE Family Controller (이더넷) 입니다.

만약 자신의 네트워크 장치의 이름을 모르신다면

윈도우키 + R 을 누른 후 cmd 를 입력한 후 확인을 눌러 명령프롬프트를 실행해주세요.

실행한 후 ipconfig 를 입력 후 엔터를 쳐주시면 정보들이 출력되는데, IPv4 주소 정보와 기본 게이트웨이 ~~

등등의 정보 위에 있는 이름 (이더넷, 이더넷5 등등…) 을 확인해주세요.

필자는 맨위의 “이더넷” 입니다.

다시 스마트스니퍼로 돌아와 해당 장치를 선택 후 OK 를 눌러줍시다.

그럼 재생 버튼이 비활성화 되면서 중지 버튼과 재시작 버튼이 활성화되며

리스트박스에 정보들이 보이기 시작합니다.

잠깐, 모르고 장치를 잘못 선택해서 그런지 목록에 뜨지 않는다구요?

괜찮습니다 빨간색 네모 아이콘의 중지 버튼을 눌러 중지해준 후 다시 캡쳐 옵션 창으로 가서

제대로 선택하고 오시면 됩니다.

패킷 정보가 리스트박스에 추가되기 시작합니다.

해당 정보를 클릭해 패킷의 내용을 볼 수 있고

더블클릭시 정보가 요약된 창이 뜹니다.

TCP 패킷의 정보만 리스트박스에서 보고싶은데 다른 프로토콜의 정보가 많아서 거슬린다면

체크한 프로토콜의 패킷들만 출력되게도 할 수 있습니다.

프로토콜 말고 특정 포트의 패킷 정보만 리스트박스에 추가되었으면 좋겠다면

Options -> Display Filter 에서 필터 옵션을 적으시면됩니다.

tcp 의 80 포트만 보고싶다면 include:remote:tcp:80 를 적어 넣으시면 됩니다.

[해킹 기법] 스니핑(Sniffing) 공격 원리와 종류, 탐지 방법

목차

스니핑 공격(Sniffing Attack)이란? 스니퍼(Sniffer)의 개념

Sniffing이란 단어의 사전적 의미로는 ‘코를 킁킁거리다’, ‘냄새를 맡다’ 등의 뜻으로 정의된다. 사전적인 의미와 같이 해킹 기법으로서 스니핑은 네트워크 상에서 자신이 아닌 다른 상대방의 패킷(데이터) 교환을 엿듣는 즉 도청하는 것을 의미한다.

컴퓨터 내에서의 스니핑 공격은 일반적으로 작동하는 IP 필터링과 MAC 주소 필터링을 수행하지 않고, 랜 카드로 들어오는 전기 신호를 모두 읽어 들이기 떄문에 다른 이의 패킷을 관찰하여 정보를 유출시키 수 있는 것이다.

간단히 말하여 네트워크 트래픽을 도청(eavesdropping)하는 과정을 스니핑이라고 할 수 있다. 이런 스니핑을 할 수 있도록 하는 도구를 스니퍼(Sniffer)라고 칭하며 스니퍼를 설치하는 과정은 전화기 도청 장치를 설치하는 과정과 유사하여 비유될 수 있다.

또한 스니핑 공격을 수동적 공격이라고 말하는데 공격할 때 아무 것도 하지 않고 조용히 있는 것만으로도 충분하기 때문이다.

그림으로 표현한 스니핑 공격

스니핑 공격의 원리(Principles of sniffing attacks)

근거리 통신망(LAN) 상에서 개별적으로 호스트 를 구별하기 위한 방법으로 이더넷 인터페이스 는 MAC 주소를 갖게 되며, 모든 이더넷 인터페이스의 MAC 주소는 서로 다른 고유한 값을 가진다. 따라서 로컬 네트워크상에서 각 호스트는 유일하게 구별이 가능해진다. 이더넷은 로컬 네트워크 내의 모든 호스트가 같은 선을 공유하도록 되어 있는데 이로 인해 같은 네트워크내의 컴퓨터는 다른 컴퓨터가 통신하는 모든 트래픽을 볼 수 있게 된다. 하지만 이더넷 인터페이스는 자신의 MAC 주소를 갖지 않는 트래픽을 무시하는 특성의 필터링을 가지고 있다.

하지만 스니핑 공격은 필터링을 무시하고 모든 트래픽을 볼 수 있는 * Promiscuous 모드를 설정하여 트래픽을 도청하는 방식을 취한다.

* Promiscuous Mode

사전적 정의로는 컴퓨터 네트워킹에서, 무차별 모드는 유선 네트워크 인터페이스 컨트롤러 또는 무선 네트워크 인터페이스 컨트롤러를위한 모드로, 컨트롤러가 특별히 수신하도록 프로그래밍 된 프레임 만 전달하지 않고 컨트롤러가 수신하는 모든 트래픽을 중앙 처리 장치로 전달하는 기능이다.

통상적으로 허브(HUB) 같은 스위치(Switch)에서 TCP/IP 프로토콜에서 목적지를 찾기위해 모든 장비에 브로드캐스트를 하게되면,

해당 스위치에 연결된 모든 NIC(Network Interface Card)는 자신에게 알맞는 패킷인 경우 허용하고 그렇지 않은 경우 해당 패킷을 폐기하게 된다.

일반적으로 시스템에 부하를 많이 주기때문에 대부분 기본적으로 비활성화(Disabled) 되어있다.

상황에 따라서 해당 기능을 인터페이스에서 활성화하게 되면, 해당 인터페이스는 자신에게 온 패킷이 아님에도 불구하고 해당 패킷을 받아 유지하게되고, 해당 데이터를 조합하여 다른 정보를 스틸할 수도 있다.

간단히 말하자면 데이터 링크 계층과 네트워크 계층의 정보를 이용한 필터링을 해제하는 역할을 하는것이다.

스니핑 공격의 종류(Types of Sniffing Attacks)

스위치 재밍 공격(Switch Jamming Attack)

스위치가 MAC 주소 테이블을 기반으로 포트에 패킷을 스위칭할 때 정상적인 스위칭 기능을 마비 시키는 공격이다.

MACOF 공격이라고 불리기도 한다.

스위치 재밍 공격(Switch Jamming Attack) 원리

스위치는 자신이 가지고 있는 MAC 테이블의 저장 공간이 가득차면 네트워크 패킷을 브로드 캐스트 하는 특성이 있는데 이를 이용한 공격 방법이다.

스위치 재밍 공격의 공격 원리는 스위치가 관리하는 MAC 주소 테이블에 정보가 모두 입력되서 테이블이 가득차면 허브(HUB)처럼 패킷을 브로드 캐스트하게 되는데 공격자는 위조된 MAC 주소를 계속해서 스위치로 전달하고 스위치는 위조된 MAC 주소로 MAC 테이블을 채우게 된다. 그렇게 스위치의 MAC 테이블을 오버플로우 시키게 되면 브로드 캐스트로 인해 모든 패킷을 공격자가 받을 수 있게된다.

이 때 네트워크 통신 속도가 현저히 저하되서 공격자에게도 영향이 있게 된다.

현대 고가의 스위치는 MAC 테이블의 캐시와 연산자가 쓰는 캐시가 독립적으로 구성되어 있어 스위치 재밍 공격을 통하지 않는다.

스위치 재밍 공격(Switch Jamming Attack) 가능한 이유

스위치의 한 포트에 여러 개의 MAC 주소 설정이 가능한데 스위치는 자신에게 들어오는 모든 패킷을 MAC Table에 저장 시켜놓는다. 공격자가 스위치에게 다량의 Frame 패킷을 보내게 된다면 스위치의 포트로부터 들어온 모든 MAC주소를 MAC 테이블에 저장하게 되고 결국 Overflow 상태가 되어서 스위치가 허브처럼 동작하게 된다.

스위치는 허브로 동작하게 되어서 결국 모든 패킷을 브로드 캐스트하여 다른 호스트가 패킷을 스니핑할 수 있는 환경이된다.

스위치 재밍 공격(Switch Jamming Attack) 탐지 방법

스위치 재밍(Switch Jamming) 공격은 MAC 테이블의 오버플로우를 발생시키는 것이 목적이기 때문에 서로 다른 MAC 주소로 다량의 패킷을 전송하기 때문에 IP 또는 MAC 당 패킷은 극히 적은 수로 발생한다. 이러한 특징을 이용해 와이어샤크(Wireshark)에서는 IP별 또는 이더넷(Ethernet) 별로 패킷 수를 확인하는 방법으로 공격을 확인할 수 있다.

SPAN 포트 태핑 공격(SPAN Port mirroring)

스위치의 포트 미러링(Port mirroring) 기능을 이용한 공격 방법인데 포트 미러링(Port mirroring)이란 포트 미러링 각 포트에 전송되는 데이터를 미러링하는 포트에도 동일하게 전달하여 침입 탐지 시스템, 네트워크 모니터링, 로그 시스템 등에 많이 사용된다.

공격자는 미러링 된 포트를 이용하여 모든 정보를 볼 수 있게 된다.

ARP Redirect

ARP Redirect 공격은 공격자는 자신이 라우터인 것처럼 속여 공격하는 기법이다. 위조된 ARP reply를 주기적으로 브로드 캐스트함으로서 주변 기기들이 공격자를 라우터로 인식하도록 만들고 외부로 전달되는 모든 패킷은 공격자를 거쳐 가도록 만든다. 자신이 공격자라는 걸 은닉 위해 주변 기기들은 정상 통신 응답을 받아야하므로 공격자는 스니핑 이후 패킷을 IP Forwarding 으로 게이트웨이 로 전달해야 한다.

ICMP Redirect

ICMP Redirect는 ARP Redirect와 동일하게 공격자가 라우터로 인식되도록 하는 공격방법이다. 여러 라우터가 존재하는 네트워크 시스템에서 최적의 데이터 전송 경로를 찾기위해 네트워크 들은 여러 알고리즘으로 동작하게 되는데 공격자는 공격대상에게 자신이 라우터이고 최적의 경로라고 수정된 ICMP Redirect를 보내 데이터를 전달받는다.

ARP Redirect와 동일하게 게이트웨이로 다시 전달해야 한다.

ICMP Redirect 동작 원리

호스트가 인터넷으로 패킷을 보낼 때 디폴트 라우터로 라우터 A가 정해져 있다면 호스트는 일단 패킷을 라우터 A로 보낸다.

라우터 A는 라우팅 테이블을 검색해서 직접 패킷 데이터를 처리하는 것 보다 라우터 B가 처리하는 것이 효과적이라면 패킷을 라우터 B로 패킷을 전송한다.

라우터 A는 동일 목적지로 보내는 패킷이 라우터 B로 전송되도록 호스트에게 ICMP Redirect 패킷을 보낸다.

호스트는 라우팅 테이블에 현재 전송중인 패킷에 대한 정보를 저장하고 동일 목적지로 전송하는 패킷은 라우터 B로 보낸다.

스니퍼 탐지 방법

Ping을 이용한 스니퍼 탐지

의심이 가는 호스트에 네트워크에 존재하지 않는 MAC 주소를 위장해서 ping을 보내면 스니퍼 탐지 가능

존재하지 않는 MAC 주소를 사용했으므로 스니핑을 하지 않는 호스트라면 ping request를 볼 수 없는 것이 정상이기 때문이다.

공격자로 의심이 되는 호스트에 네트워크에 존재하지 않는 MAC 주소로 위조된 ping을 보내면 Transport 레이어에서 다시 reply를 보내게 됩니다. 만약 스니핑을 하지 않는 호스트라면 ping request를 볼 수 없는 것이 정상이다.

ARP를 이용한 스니퍼 탐지

위조된 ARP request를 보냈을 때 ARP Response가 오면 프로미스큐어스(Promiscuous) 모드로 설정된 것이므로 탐지가 가능하다.

DNS를 이용한 스니퍼 탐지

일반적인 스니핑 프로그램은 스니핑한 시스템의 IP 주소에 DNS의 이름 해석 과정인 Reverse-DNS lookup 을 수행하여서 대상 네트워크로 Ping Sweep를 보내고 들어오는 Reverse-DNS lookup을 감시하면 스니퍼 탐지 가능하다.

유인을 이용한 스니퍼 탐지

가짜 아이디와 패스워드를 네트워크에 계속 뿌려서 공격자가 이를 이용해 접속을 시도하면 스니퍼 탐지 가능하다

ARP Watch를 이용한 스니퍼 탐지

ARP watch는 MAC 주소와 IP 주소의 매칭 값을 초기에 저장하고 ARP 트래픽을 모니터링하여 이를 변하게 하는 패킷이 탐지되면 알려주는 툴이다. 대부분의 공격 기법은 위조된 ARP를 사용하기 때문에 쉽게 탐지 가능하다.

So you have finished reading the 스니퍼 topic article, if you find this article useful, please share it. Thank you very much. See more: 스니퍼 드라마, 스니퍼 다운, 스니퍼 프로그램, 테일즈런너 스니퍼, 스니퍼 잔, 더스틴스니퍼, 스페이스스니퍼, 스마트스니퍼