2장. 회선 탭핑

2장. 회선 탭핑

• 네트워크상에서 패킷 스니퍼를 사용하기 위한 다양한 기술을 설명한다.

• 목적 : 다양한 네트워크 토폴로지(네트워크 구성)상에서 패킷 스니퍼를 설치하기 위한 

    장소를 결정하기 위한 지식과 이해를 돕는 것이다.

2.1 무차별 모드

NIC의 무차별 모드를 사용해 모든 트래픽을 캡쳐하게 할 수 있다. 

무차별 모드로 동작하는 경우 NIC는 주소 지정과 관계없이 호스트의 프로세서로 모든 패킷을 전달한다.

패킷을 CPU로 전달하면 분석을 위해 패킷 스니핑 애플리케이션으로 넘겨진다.

2.2 허브상의 스니핑

허브를 통해 전송되는 트래픽은 허브에 연결된 모든 포트에 전달된다.

그러므로 허브에 연결된 컴퓨터를 통해 실행되는 트래픽을 분석하려면 허브에 있는 빈 포트로 패킷 스니퍼를 연결할 필요가 있다.

그러나 아쉽게도 허브는 요즘에는 좀처럼 보기 힘들다. 

2.3 스위치 환경에서의 스니핑

가장 일반적인 형태. 스위치 환경에서 패킷을 분석하기 위해 스위치 포트에 스니퍼를 연결하면 

자신의 컴퓨터에 전송돼 오는 패킷과 브로드캐스트 패킷만을 볼 수 있다.

스위치 환경에서 다른 컴퓨터를 스니핑하기 위한 방법으로는 포트 미러링(port mirroring),

허빙 아웃(hubbing out), 탭(tap) 사용, ARP 캐시 포이즈닝(ARP cache poisoning) 4가지 방법이 있다.

2.3.1 포트 미러링

포트 미러링이나 포트 스패닝(port spanning)으로 알려진 방법은 

스위치 환경에서 목표 장비에 대해 스니핑할 수 있는 가장 쉬운 방법 중 하나다.

• 목표 컴퓨터가 위치한 스위치의 커맨드라인 인터페이스에 접근할 수 있어야 함

• 스위치가 포트 미러링 기능을 지원해야 함

• 스니퍼를 연결하기 위한 포트가 남아 있어야 함.

2.3.2 허빙 아웃

공격자가 목표 컴퓨터의 로컬 네트워크에 있는 것처럼 만드는 공격.

이를 통해 공격자는 목표 컴퓨터와 동일한 허브에 연결된 것 같은 상황에서 스니핑을 할 수 있게 된다.

• 준비물 : 허브와 약간의 네트워크 케이블

2.3.3 탭 사용

네트워크 탭은 케이블링 시스템에서 두 지점 사이의 패킷을 캡쳐하기 위해 두 지점 사이에 둘 수 있는 하드웨어 장치다.

허빙 아웃과 마찬가지로 필요에 의해 패킷을 캡쳐하려고 네트워크에 있는 하드웨어의 한 부분에 둘 수 있다.

차이점은 허브를 사용하는 것보다 네트워크 분석을 위해 설계된 하드웨어의 특정 부분을 사용할 수 있다는 점이다.

2.3.4 ARP 캐시 포이즈닝

ARP  캐시 포이즈닝(Cache Poisoning)은 ARP 스푸핑으로 불리기도 한다.

다른 컴퓨터의 트래픽을 가로채기 위해 라우터나 이더넷 스위치에 거짓 MAC주소 정보를 보내는 것이다.

목표 컴퓨터에 조작된 특정 패킷을 보냄으로써 목표 컴퓨터의 트래픽을 수집할 수 있다.

--> 카인앤아벨 사용

2.4 라우터 환경에서 스니핑

스위치 환경에서 이용 가능한 모든 기술은 라우터 환경에서도 마찬가지로 적용할 수 있다.

2.5 스니퍼 설치 연습

스위치 네트워크 환경에서 패킷 스니핑을 위한 가이드라인