[정보보안기사] Sniffing 스니핑

네트워크 패킷을 훔쳐보는 도구이다. 송수신자의 네트워크 패킷을 훔쳐보아서 송수신자의 'IP주소', 'Port번호', 송수신 '메시지'까지 확인이 가능. 클라에서 전송된 네트워크 패킷에 대해서 서버가 어떤 식으로 반응하는지 알 수 있다.

네트워크에 참여하는 송신자와 수신자 사이에 정상적으로 정상적으로 패킷이 전송되는지 확인할 수 있다.

유무선 데이터 통신의 내용을 도청하는 행위 및 소프트웨어로 ‘수동적 공격’의 형태이다.

스니핑 도구를 실행시킨 후 디폴트 설정인 Normal Mode를 Promiscuous Mode로 설정하고 스니핑을 실행.

Normal Mode : 자신의 컴퓨터를 전송되는 패킷만 수신 받고, 자신과 관련 없는 패킷은 Drop한다.
Promisc Mode : 모든 패킷.
# ifconfig eth0 promisc

스니핑 할 수 있는 도구로서 tcpdump 프로그램
# tcpdump -c 5
5개 패킷에 대해서 스니핑 설정

# tcpdump -i eth0
특정 인터페이스를 스니핑 실행

SSL 패킷 스니핑 (SSL/TLS, TLSv1)
SSL 암호화된 데이터를 송신하는 경우,
SSL 암호화 되어도 IP주소와 Port번호는 확인 가능.



==
네트워크의 중간에서 남의 패킷 정보를 도청하는 해킹 유형의 하나. *수동적 공격에 해당하며, 도청할 수 있도록 설치되는 도구를 *스니퍼(Sniffer)라고 한다. 네트워크 내의 ‘패킷’들은 대부분 암호화되어 있지 않아 해킹에 이용당하기 쉽기 때문에 이를 보완하는 여러 기법이 개발되고 있다.


*수동적 공격:
능동적 공격과는 반대로 시스템의 상태를 변경하지 않고 허가 받지 않은 정보 노출에 대한 위협을 말한다. 즉, 정보의 변경이 아닌 차단을 수반하는 위협의 한 종류로, 데이터를 수동적으로만 감시하고 기록함르로써 공격을 시도한다.

*스니퍼:
스니퍼는 네트워크 트래픽을 감시하고 분석하는 관리용 프로그램으로서 일반적으로 트래픽에 따른 병목현상을 해결하는데 이용된다. 그러나 악의적인 용도로 LAN 등 네트워크 환경의 트래픽을 분석하여 사용자 ID나 패스워드, 이메일 정보를 수집하는 공격에 이용된다.