네트워크 스니핑 기술 및 방지대책

2. ARP Redirect 공격

먼저 정상적인 ARP Protocol에 대하여 설명한다. IP 데이터 그램에서 IP 주소는 32 bit 구조로 되어 있고 이더넷 주소(MAC 주소)는 48 bit의 크기를 갖는다. 다른 호스트로 ftp나 telnet 등과 같은 네트워크 연결을 하기 위해서는 상대방 호스트의 이더넷 주소를 알아야 한다. 즉, 사용자는 IP 주소를 이용하여 연결을 하지만 이더넷상에서는 이더넷 주소를 이용하게 된다. 이를 위하여 IP주소를 이더넷 주소로 변환시켜 주어야 하는데 이를 ARP(Address Resolution Protocol)라 한다. 그리고 그 역 과정을 RARP(Reverse Address Resolution Protocol)라 한다. ARP를 이용하여 상대 호스트의 이더넷 주소를 알아내는 과정은 다음과 같다.

① 먼저 네트워크내의 모든 호스트에 "ARP Request"라고 불리는 이더넷 프레임을 보낸다. 연결하고자 하는 호스트의 IP 주소를 포함한 ARP Request는 이더넷상의 모든 다른 호스트들에게 "이 IP 주소를 사용하는 호스트는 나에게 하드웨어 주소(이더넷 주소)를 알려주시오"라는 의미를 갖는다.

② ARP Request를 받은 호스트 중 해당 IP를 사용하는 호스트는 자신의 하드웨어 주소(이더넷 주소)를 ARP Request를 보낸 호스트에게만 보내주게 되는데 이를 ARP Reply라고 한다.

③ 이후 두 호스트간의 통신(ftp, telnet 등)을 위하여 상대방의 이더넷 주소를 사용하게 되며, IP datagram을 송수신할 수 있게 된다.

다음 그림은 ARP Request와 ARP Reply의 과정을 보여주고 있다.

다음은 실제로 172.16.2.15 번 호스트에서 172.16.2.26번으로 ping을 했을 경우 나타나는 arp 트래픽이다. arp request/reply를 교환한 두 호스트는 상대방의 MAC 주소를 각각의 arp cache에 저장하게 된다. 따라서 마지막 라인에서 172.16.2.26번 호스트가 15번 호스트로 echo reply를 보낼때는 arp request/reply 과정을 거치지 않아도 된다.

"ARP Redirect" 공격은 위조된 arp reply를 보내는 방법을 사용한다. 즉 공격자 호스트가 "나의 MAC 주소가 라우터의 MAC 주소이다"라는 위조된 arp reply를 브로드케스트로 네트워크에 주기적으로 보내어, 스위칭 네트워크상의 다른 모든 호스트들이 공격자 호스트를 라우터로 믿게끔한다. 결국 외부 네트워크와의 모든 트래픽은 공격자 호스트를 통하여 지나가게 되고 공격자는 스니퍼를 통하여 필요한 정보를 도청할 수 있게 된다.

※ ARP Protocol specification에 의하면 이미 cache에 저장하고 있는 IP에 대한 ARP request를 받게되면 호스트는 ARP request를 보낸 호스트의 MAC 주소를 cahe에 업데이트 하게 된다고 나와 있다. 그리고 이러한 cache의 업데이트 기능은 arp reply에도 적용되는 것으로 보이며, 위의 공격이 성공할 수 있는 요인이 된다. 하지만 시스템에 따라 다를 수도 있다.

이때 공격 호스트는 IP Forwarding 기능을 설정하여야 공격 호스트로 오는 모든 트래픽을 원래의 게이트웨이로 Forwarding 해줄 수 있다. 그렇지 않으면 외부로 나가는 모든 네트워크 연결이 끊어지게 된다.

다음은 "arpredirect"라는 공격 프로그램으로 공격했을 때 네트워크상에 나타나는 arp 패킷을 tcpdump를 이용하여 잡은 모습이다. 공격이 끝날때는 원래의 arp 매핑을 복원하여 네트워크 연결이 끊어지지 않도록 하고 있다.

※ 위조된 패킷을 주기적으로 보내는 이유는 다른 호스트의 arp cache를 지속적으로 위조하기 위해서 이다.

위와 같은 공격을 하게되면 다른 모든 호스트들은 공격자 호스트를 라우터로 인식하고 외부로 연결되는 모든 트래픽을 공격 호스트로 보내게 되는데 이때 공격자는 다음과 같이 IP Forwarding 기능을 이용하여 원래의 목적지로 패킷을 Forwarding 해야만 네트워크가 끊어지지 않게되고, 공격자는 지나가는 패킷을 스니핑할 수 있다.

3. ARP spoofing 공격

ARP redirect와 비슷한 공격 방법으로 다른 세그먼트에 존재하는 호스트간의 트래픽을 스니핑하고자 할 때 사용된다. 공격자는 자신의 MAC 주소를 스니핑하고자 하는 두 호스트의 MAC 주소로 위장하는 arp reply(또는 request) 패킷을 네트워크에 뿌린다. 즉 "나의(공격자의) MAC 주소가 스니핑하고자 하는 호스트의 MAC 주소이다"라는 arp reply를 각 각의 호스트에게 보내게 된다.

이러한 arp reply를 받은 두 호스트는 자신의 arp cache를 업데이트 하게 되고, 두 호스트간에 연결이 일어날 때 공격자 호스트의 MAC 주소를 사용하게 된다. 결국 두 호스트간의 모든 트랙픽은 공격자가 위치한 세그먼트로 들어오게 된다.

이러한 경우 arp redirect 공격과 마찬가지로 공격자 호스트로 넘어오는 트래픽을 본래의 호스트로 relay 해주어야만 두 호스트 간에 정상적인 연결을 할 수 있게 되고 스니핑도 할 수 있다. 그렇지 않으면 두 호스간의 연결은 이루어 질 수 없게 되고 결국 스니핑도 할 수 없게 된다.

다음은 "arpmitm"이라는 공격 프로그램을 이용하여 172.16.2.15와 172.16.2.18번 호스트간의 트래픽을 스니핑 하기 위한 공격했을 때 네트워크상에 나타나는 arp 패킷을 tcpdump를 이용하여 잡은 모습이다.

※ 위조된 패킷을 주기적으로 보내는 이유는 Target 호스트의 arp cache를 지속적으로 위조하기 위해서 이다.

4. ICMP Redirect 공격

ICMP(Internet Control Message Protocol)는 네트워크 에러 메시지를 전송하거나 네트워크 흐름을 통제하기 위한 프로토콜인데 ICMP Redirect를 이용해서 스니핑 할 수 있는 방법이 존재한다.

ICMP Redirect 메시지는 하나의 네트워크에 여러개의 라우터가 있을 경우, 호스트가 패킷을 올바른 라우터에게 보내도록 알려주는 역할을 한다. 공격자는 이를 악용하여 다른 세그먼트에 있는 호스트에게 위조된 ICMP Redirect 메시지를 보내 공격자의 호스트로 패킷을 보내도록하여 패킷을 스니핑하는 방법이다.

5. 스위치의 span/monitor port를 이용한 스니핑

이 방법은 스위치에 있는 monitor 포트를 이용하여 스니핑 하는 방법이다. monitor 포트란 스위치를 통과하는 모든 트래픽을 볼 수 있는 포트로 네트워크 관리를 위해 만들어 놓은 것이지만 공격자가 트래픽들을 스니핑하는 좋은 장소를 제공한다.

IV. 스니핑 방지 대책

네트워크 설정을 통하여 스니핑을 어렵게 하는 많은 방법이 있으나 가장 좋은 방법은 데이터를 암호화 하는 것이다. 데이터를 암호화 하게되면 스니핑을 하더라도 내용을 볼 수 없게 된다. SSL, PGP 등 인터넷 보안을 위한 많은 암호화 프로토콜이 존재한다.

하지만, 일관된 암호 프로토콜의 부재, 사용의 어려움, 암호 어플리케이션의 부재로 인하여 암호화를 사용할 수 없는 경우가 많이 있으며, 이러한 경우 가능한한 스니핑 공격을 어렵도록 네트워크를 설정하고 관리하여야 한다. 특히, 웹호스팅, 인터넷데이터센터(IDC) 등과 같이 여러 업체가 같은 네트워크를 공유하는 환경에서는 스니핑으로부터의 보안 대책이 마련 되어야 한다.

스니핑 방지를 위한 대책으로 먼저 네트워크를 스니핑하는 호스트를 주기적으로 점검하는 방법이 있다. 이러한 점검을 통하여 누가 네트워크를 도청하는지 탐지하여 조치하여야 한다. 몇 몇 침입탐지시스템(IDS)은 이러한 스니핑 공격을 탐지할 수 있다. 또한 스위칭 환경의 네트워크를 구성하여(비록 스니핑이 가능하기는 하지만) 되도록 스니핑이 어렵도록 하여야 한다.

1. 암호화

1.1 SSL

암호화된 웹서핑을 가능하게 해주는 SSL(Secure Sockets Layer)은 많은 웹서버와 브라우저에 구현되어 있다. 그리고 대부분의 전자상거래 사이트에 접속하여 신용카드 정보를 보낼 때 사용된다.

참고 사이트 : http://www.modssl.org/

1.2 PGP and S/MIME

전자메일(E-mail) 또한 많은 방법으로 스니핑되고 있다. 인터넷상으 여러곳에서 모니터링될 수도 있으며, 잘못 전달될 수도 있다. 전자메일을 보호하기 위한 가장 안전한 방법은 메일을 암호화 하는 방법이며, 가장 대표적인 방법은 PGP와 S/MIME을 사용한다. PGP는 add-on 제품으로 사용되고 있으며, S/MIME은 전자메일 프로그램에 구현되어 있다.

1.3 ssh

ssh(Secure Shell)은 유닉스 시스템에 암호화된 로그인을 제공하는 사실상 표준으로 사용되고 있다. telnet 대신에 반듯이 ssh을 사용하여야 한다. ssh을 제공하는 많은 공개된 도구들이 존재 한다.

1.4 VPN

VPN(Virtual Private Networks)은 인터넷상에서 암호화된 트래픽을 제공한다. 하지만 VPN을 제공하는 시스템이 해킹당할 경우에는 암호화 되기 이전의 데이터가 스니핑 당할 수 있다.

2. 스위칭 환경의 네트워크 구성

스위치를 이용하여 업무 성격에 따라 그리고 처리하는 데이터에 따라 세그먼트를 구분하여 네트워크를 구성할 수 있다. 스위치는 트래픽을 전달할 때 모든 세그먼트로 브로드케스트 하지 않고 해당 세그먼트에만 전달하므로 일반 허브를 사용하는 것보다 안전하다. 하지만 앞서 설명한 "스위칭 환경에서의 스니핑 기법"과 같은 공격을 할 수 있다. 또한 같은 세그먼트내에서의 스니핑은 막을 수 없다.

스위치를 설정할 경우, 스위치의 주소 테이블을 static하게 설정하여 "스위칭 환경에서의 스니핑"을 막을 수 있는 방법이 있다. 아래와 같이 스위치의 각 포트에 대하여 MAC 주소를 static(permanent)하게 대응시키면 ARP spoofing, ARP redirect 등의 공격을 막을 수 있다. 이러한 방법은 보안관리에 많은 시간을 소모하게 되지만 매우 효과적인 대응방법 이다.

모든 스니퍼는 네트워크 인터페이스를 "promiscuous mode"로 설정하여 네트워크를 도청하게 된다. 따라서 호스트가 "promiscuous mode"로 설정되어 있는지 주기적으로 점검하여 스니퍼가 실행되고 있는 시스템을 탐지하여야 한다. 스니핑 기술과 마찬가지로 스니퍼를 탐지하는 방법도 고도화 되고 있다. 다음은 "promiscuous mode"로 설정된 시스템을 탐지하는 방법에 대하여 설명한다. 아래의 대부분의 방법들은 주로 로컬 네트워크내에서 탐지가능한 방법이다.

3.1 ping을 이용하는 방법

대부분의 스니퍼는 일반 TCP/IP 스택상에서 동작하기 때문에 request를 받으면 그에 해당하는 response를 전달하게된다. ping을 이용한 스니퍼 탐지 방법은 의심이 가는 시스템에게 ping을 보내는데 MAC 주소를 위장하여 보내는 방법이다.

① MAC 주소를 위조하여(로컬 네트워크에 존재하지 않는 MAC 주소 사용)하여 ping(ICMP Echo Request)을 다른 시스템에게 보낸다.

②③ 만약 ping reply(ICMP Echo Reply)를 받게되면, 해당 호스트가 스니핑을 하고 있는 것이다. 왜냐하면 존재하지 않는 MAC 주소를 사용했기 때문에 스니핑을 하지 않는 호스트는 누구도 ping request를 볼 수 없게되며, reply를 하지 않게 된다.

다음은 "sentinel" 이라는 스니퍼 탐지도구를 이용하여 33번 호스트에 대하여 ping 테스트를 하는 과정이다. 테스트 결과가 "positive"라고 나오며 이는 33번 호스트가 "promiscuous mode"로 설정되어 있음을 의미한다.

다음은 sentinel이 실행될 때 네트워크에 나타나는 트래픽을 보여준다. 6, 8번 라인에서 "icmp: echo reply"가 회신되는 것을 볼 수 있다.

3.2 ARP를 이용하는 방법

ping 방법과 유사한 방법으로 non-broadcast로 위조된 ARP request를 보냈을 때 ARP response가 오면 상대방 호스트가 "promiscuous mode"로 설정되어 있는 것이다.

다음은 33번 호스트에게 위조된 ARP request를 보내어 ARP reply가 오는지를 테스트하는 과정이다. 마찬가지로 결과가 "positive"로 나오게 되면 이는 33번 호스트가 "promiscuous mode"로 설정되어 있음을 의미한다.

다음은 sentinel이 실행될 때 네트워크에 나타나는 트래픽을 보여준다. 4, 6번 라인에서 arp reply가 회신되는 것을 볼 수 있다.

3.3 DNS 방법

일반적으로 스니핑 프로그램은 사용자의 편의를 위하여 스니핑한 시스템의 IP 주소를 보여주지 않고 도메인 네임을 보여주기 위하여 Inverse-DNS lookup을 수행하게 된다. 따라서 DNS 트래픽을 감시하여 스니퍼를 탐지할 수도 있다.

이 방법은 원격 또는 로컬 네트워크 모두에서 할 수 있는 방법이다. 원격에서 테스트 대상 네트워크로 Ping sweep을 보내고, 들어오는 Inverse-DNS lookup을 감시하여 스니퍼를 탐지할 수 있다. 로컬에서 할 경우에는 위조된 IP 주소로 IP datagram을 보내고 이에 대한 DNS lookup이 있는지 감시하여 스니퍼를 탐지할 수 있다.

3.4 유인(decoy) 방법

스니퍼를 실행하는 공격자는 일반적으로 사용자 ID와 패스워드를 도청한다. 그리고 도청한 ID와 패스워드를 이용하여 다른 시스템을 공격하게 된다. 따라서 네트워크상에 클라이언트/서버를 설정하여 미리설정된 사용자 ID와 패스워드를 지속적으로 흘려 공격자가 이 패스워드를 사용하게 끔한다. 관리자는 IDS 또는 네트워크 감시 프로그램을 이용하여 이러한 미리설정된 ID와 패스워드를 사용하는 시스템을 탐지함으로서 스니퍼를 탐지할 수 있다.

http://www.zurich.ibm.com/Technology/Security/extern/gsal/sniffer_detector.html

3.5 host method

호스트 단위에서 "promiscuous mode"를 확인하는 방법으로 "ifconfig -a" 명령을 이용하여 확인할 수 있다. 다음의 결과에서 "PROMISC" 부분을 보고 "promiscuous mode"가 설정되어 있음을 알 수 있다.

4. 네트워크 관리

앞서 설명바와 같이 스니퍼를 탐지할 수 있는 많은 방법이 존재하며 또한 이를 구현한 공개용 도구가 있다. 네트워크 관리자는 이러한 도구를 이용하여 주기적으로 스니퍼의 설치 여부를 감시함으로서 외부로부터의 공격자를 포함하여 악의의 내부 사용자를 탐지할 수 있다. 다음은 앞서 설명한 공격을 탐지하는데 사용할 수 있는 공개용 도구에 대하여 설명한다.

4.1 ARPwatch

ARP 트래픽을 모니터링하여 MAC/IP 매칭을 감시하는 프로그램으로 초기에 설정된 ARP 엔트리(ethernet/ip addr)가 변하게 되면 이를 탐지하여 관리자에게 메일로 통보해 주는 도구이다. 대부분의 공격기법이 위조된 ARP를 사용하기 때문에 이를 쉽게 탐지할 수 있다. 다음은 "arpwatch -d"를 실행하여 초기 ethernet/ip 쌍에 대한 데이터베이스를 만든 것이다. 이후 "arpwatch"를 실행하게 되면 추가되거나 변경되는 ethernet/ip 쌍에 대하여 메일을 통하여 경고를 주게된다. 관리자는 메일을 통하여 ARP를 이용한 공격을 탐지하고 대응할 수 있다.

ARPwatch 다운로드 사이트 : ftp://ftp.ee.lbl.gov/

4.2 Sentinel

Sentinel은 앞서 설명한 스니퍼를 탐지하는 방법을 구현한 도구이다. 4가지 방법으로 스니퍼를 탐지할 수 있는데 이중 "ICMP Ping Latency test(-i 옵션)"는 아직 구현되지 않았다. 네트워크 관리자는 내부 네트워크의 모든 호스트에 대하여 이와 같은 도구를 사용하여 주기적으로 스니퍼가 설치되어 있는지 점검해 보아야 한다. 그리고 스니퍼가 설치된 것으로 의심이 가는 호스트는 철저한 분석를 수행하고 만약 침입을 당하였을 경우에는 복구를 하도록 하여야 한다. 시스템 분석 및 복구에 대해서는 다른 기술문서에서 다루도록 한다.

Methods:

[ -a ARP test ]
[ -d DNS test ] (requires -f (non-existent host) option
[ -i ICMP Ping Latency test ]
[ -e ICMP Etherping test ]

다음은 sentinel을 이용하여 스니퍼를 탐지하는 예이다.

# ./sentinel -t 192.168.1.2 -a ; arp test against 192.168.1.2
# ./sentinel -t 192.168.1.2 -e ; etherping test against 192.168.1.2
# ./sentinel -t 192.168.1.2 -f 1.1.1.1 -d ; dns test against 192.168.1.2
# ./sentinel -t 192.168.1.2 -f 1.1.1.1 -d -a -e ; all of promisc detection tests against 192.168.1.2

Sentinel 다운로드 사이트 : http://www.packetfactory.net/projects/sentinel/

[참고문헌 및 참고사이트]

1. TCP/IP Illustrated, Volume1, The Protocols, W.Richard Stevens, ADDISON-WESLEY
2. dsniff, http://www.monkey.org/~dugsong/dsniff/
3. arpwatch, ftp://ftp.ee.lbl.gov/
4. Sentinel Project, http://www.subterrain.net/projects/sentinel
5. The Hunt Project, http://www.cri.cz/kra/index.html
6. arpmitm, http://teso.scene.at/releases.php3
7. Sniffing FAQ, http://www.securitymap.net/docs/faq/sniffing-faq.htm