ARP spoofing
공격자가 네트워크에서 자신의 MAC 주소를 피해자의 IP 주소에 매핑하여 패킷을 가로채거나 수정하는 공격 (LAN에서 Data frame을 훑어보는 행위)
동작 방식
1. 임의의 호스트가 피해자의 MAC 주소를 알기 위해 ARP Request 패킷을 보낸다.
2. 이때 공격자가 자신의 MAC 주소를 피해자의 MAC 주소인 것처럼 속인다.
종류
1. ARP Spoofing : ARP level에서 spoofing하는 것. (데이터 가로채기)
2. ARP poisoning : 올바르지 않은 MAC 주소를 담아서 보내는 것.
3. ARP flooding : 공격자가 지속적으로 가짜 ARP Reply 패킷을 보내는 것 (자신의 MAC 주소를 담아서 보냄)
man in the middle attack
공격자가 두 통신 당사자 사이에 개입하여 그들의 통신 내용을 가로채고 수정할 수 있는 공격.
(Diffie-Hellman이 해당 공격에 취약함 -> public key cryptography)
대처 방안
- PKI 사용
- One-Time pad 사용 (대칭키)
- 강한 상호 인증
- 2개 채널 인증 (Wi-Fi + 5G)
Smurf Attack
공격자가 IP 브로드캐스트 주소에 대량의 ICMP Echo Request를 보내서 네트워크를 마비시키는 DDoS 공격의 일종
Local LAN에서 발생한다.
IP Spoofing을 통해 희생자의 IP를 얻어내는 과정이 필요하다.
방식
- 대상의 IP 주소를 타겟으로 하는 ICMP Echo Request (ping) 메시지를 브로드캐스트 주소에 전송
(해당 네트워크에 연결된 모든 컴퓨터가 동일한 패킷에 응답하게 됨) - 브로드캐스트 주소에 ICMP Echo Request를 보내면, 네트워크에 있는 모든 장치가 이 요청에 응답하여 피해자의 IP 주소로 ICMP Echo Reply 메시지를 전송.
- 피해자는 훨씬 더 많은 양의 트래픽을 받게 되어 네트워크 대역폭이 소모되고, 정상적인 서비스가 불가능해진다.
대처
- 라우터에서 브로드캐스트 주소에 직접적으로 오는 패킷들을 막아야 한다.
Packet sniffing
네트워크에서 흐르는 데이터를 감청하여 정보를 수집하는 공격
패킷 스니퍼는 네트워크 인터페이스에서 패킷을 캡처하고 분석한다.
Layer 1
hardware device에서 sniffing 가능
Layer 2
1. Hub
공격자는 Hub에 들어오는 모든 패킷들을 수집할 수 있다.
2. Network Switch
Hub를 사용하면 Collision이 발생할 수 있다.
Network Switch는 MAC 주소를 사용하므로써 해결 가능.
network switch는 MAC 주소를 담을 수 있는 switch table을 가지고 있으며, 스위치에 도달할 수 있는 호스트의 MAC 주소를 switch table에 저장하여 기억하는 self learning 기능을 가지고 있다.
MAC Flooding
공격자가 임의의 출발지 MAC 주소를 담은 패킷을 계속 보내어 스위치 테이블을 넘치게 하여, 모든 포트로 패킷을 브로드캐스트하게 만든다
대처
- MAC-level access control
- Detecting IP:MAC Relationship
- ARP watch 사용. (이더넷 로그 모니터링)
'Computer Science > 정보 보호와 시스템 보안' 카테고리의 다른 글
| Chapter 9 - Attack & Defense (Network Security 3/3) (2) | 2024.10.24 |
|---|---|
| Chapter 9 - Attack & Defense (Network Security 2/3 - TCP/IP level) (1) | 2024.10.24 |
| Chapter 7 - Security Protocol (Certificate Authority) (0) | 2024.10.24 |
| Chapter 6 - Security Protocol (TLS) (1) | 2024.10.24 |
| Chapter 5 - Cryptography (Applied Cryptography) (0) | 2024.10.24 |