ARP Level은 LAN단에서의 영역을 말하며, Spoofing, sniffing, 단순공격으로 나눔.

man in the middle attack(중간자 공격)

네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법이다. 중간자 공격은 통신을 연결하는 두 사람 사이에 중간자가 침입하여(프록시처럼), 두 사람은 상대방에게 연결했다고 생각하지만 실제로는 두 사람은 중간자에게 연결되어 있으며 중간자가 한쪽에서 전달된 정보를 도청 및 조작한 후 다른 쪽으로 전달한다.

많은 암호 프로토콜은 중간자 공격을 막기 위하여 인증을 사용한다. 예를 들어, TLS/SSL 프로토콜은 공개 키를 기반으로 한 인증을 사용한다.

대응책(Countermeasure)

[암호키 원리]

대칭키 방식 ex ) One-time pad

대칭키로 암호화와 복호화가 모두 가능하여, 누구가가 대칭키를 획득하면 암호화된 데이터를 알수있다. 장점은 빠르다. 대칭 키 암호는 암호화하는 단위에 따라 스트림 암호와 블록 암호로 나눌 수 있다. 스트림 암호는 연속적인 비트/바이트를 계속해서 입력받아, 그에 대응하는 암호화 비트/바이트를 생성하는 방식이다. 블록 암호는 정해진 한 단위(블록)를 입력받아 그에 대응하는 암호화 블록을 생성하는 방식이다.

공개키 방식: ex ) PKL

공개키와, 개인키를 가지고 암호화와 복호화를 한다. 공개키로 암호화를 하면 데이터 보안 중점을 둔다. 그 이유는 데이터를 공개키로 암호화 하여 암호문은 보내면 수신자 측에서는 그것을 개인키로 복호화 할수 있으니, 중간에서 가로채도 복호화할 수 있는 개인키는 올바른 수신측에게만 있다. 개인키로 암호화를 하면 인증 과정에 중점을 둔다. ( 암호문과 공개키를 보낸다. ) 그 이유는 공개키의 쌍을 이루는 개인키에 의하여 암호화되었다는 의미로, 즉 데이터의 제공자의 신원 확인이 보장된다는 것이다. ( EX ,전자서명 )

1. PKI(Public Key Infrastructure, 공개키 기반구조)

   • 공개 키 기반구조는 공개 키 암호 방식을 바탕으로 한 디지털 인증서를 활용하는 소프트웨어, 하드웨어, 사용자, 정책 및 제도 등을 총칭하여 일컫는다.

2. One-time pad(일회용 패드)

   • 암호화 하려는 메세지가 있다면 똑같은 space의 key가 필요하다. 그러므로 OTP를 사용하게 되면 메세지의 크기와 같은 암호문이 나온다.

   • Ex) 보내려는 메세지 M, Key K, M과 K를 XOR연산한 결과가 R 이라면, R XOR K = M 이 되고, R XOR M = K 가 된다.

3. Strong mutual authentication(상호 인증)

   • 공개 키 기반의 인증서 발급 기관 간에 상호 인증하는 것, 여러 개의 인증 기관(CA)이 존재하는 경우에 적용된다.
   • 상호 인증을 적용할 때 다른 인증 기관이 발행한 인증서를 상호 인증서(cross certificate)라 한다.
   • 상호인증은 인증서 기반, 사용자 이름-암호 기반 총 2가지 유형으로 나눌 수 있다.

4. Second channel verification

---

Spoofing

패킷을 변조하여 희생자에게 공격하는 수법.

ARP Spoofing

ARP

Address Resolution Protocol로, IP주소를 물리적 주소인 MAC주소와 대응시키기 위한 프로토콜이다. // http://egloos.zum.com/Esunny/v/4052993

• 동작 원리는 수신자의 ip만 알고 있는 경우, MAC주소를 알아내기 위해서는 ARP 테이블을 확인하고 없으면 ARP 요청 메시지(송신자 물리주소, 송신자 IP주소, 00-00-00-00-00, 수신자 IP주소) 를 브로드캐스트를 한다. 그에 해당하는 ARP 응답메시지를 유니캐스트로 ARP 요청 메시지를 보낸 송신자에게 전송.(송신지 호스트는 ARP Cache Table을 설정하여 이를 이용하여 전송)

• 이 protocol은 정적이여서 data를 보내는 송신자의 MAC 주소가 맞는지 판별 할 방법이 없다.

데이터 전송방식 // http://blog.daum.net/ossogood/8435529

• 브로드캐스트 : 브로드캐스트는 모든 호스트, 라우터에게 전송
• 유니캐스트 : 특정한 하나의 PC에 전송
• 멀티캐스트 : 요청이 있는 특정 Host들에게만 전송 (수신자의 의지를 반영한 방식) ex) 수강신청툴, tv프로그램
  근거리 통신망(LAN) 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다. 이 공격은 데이터 링크 상의 프로토콜인 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격이다.

이 기법을 사용한 공격의 경우 특별한 이상 증상이 쉽게 나타나지 않기 때문에 사용자는 특별한 도구를 사용하지 않는 이상 쉽게 자신이 공격당하고 있다는 사실을 확인하기 힘들다.

ARP Spoofing 방법

• victim에게 지속적으로 응답 패킷을 보내 ARP Cache Table을 변경하여 수신자의 MAC 주소를 변경하여, attacker에게 전달하게 된다. (victim이 요청 패킷을 보낼 때 )
• 그러나 attacker가 data를 받으면 목적지 ip를 확인하는데 불일치면 버린다. 즉 걸릴수가 있어서 Packet forwarding 해줘야된다.

Packet forwarding

• kernel 로, 공격자의 pc가 하나의 router 로 동작하기 때문에 victim pc 에서 Traceroute 명령으로 확인해볼 경우에 발견 될 수 있다.

  Unix : /proc/sys/net/ipv4/ip_forwarding 을 수정하여 내용을 1로 변경하면 된다. 또는 echo 1 > /proc/sys/net/ipv4/ip_forwarding 으로도 가능하다.

  Windows : regedit 를 열어서 \HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \IPEnableRouter 를 1로 변경해주면 된다.

• Application으로, traceroute 로 발견이 불가능하다. fragrouter -B1 이라는 명령으로 해결할 수 있다

---

단순 공격

Smurf attack(스머프 공격, DOS(Denial of Service) 공격 중 하나)

// http://index-of.co.uk/Networking/2%5Bsuperdk%5D.pdf

공격 대상의 IP로 출발지를 바꿔서 Broadcast 방식으로 ICMP( PING, 네트워크 연결확인 ), SYN 등을 통해 네트워크상의 모든 컴퓨터에게 에코 요청 패킷을 보낸다. 패킷을 받은 컴퓨터들은 공격 대상 IP로 응답 패킷을 보내는데 공격 대상자는 수 많은 패킷을 분석하여 시스템 과부하가 생긴다.

공격 예

[root@ground root]# ./smurf 192.168.0.50 bcast 0 10 1000

smurf.c v4.0 by TFreak

Flooding 192.168.0.50 (. = 25 outgoing packets)

-> 위의 공격화면의 의미를 설명하면 다음과 같다. Dst IP인 bcast (192.168.0.255)로 “192.168.0.50”에서 ICMP Request를 보낸 것으로 위장된 1000 size의 패킷을 10ms 간격으로 보내라.

방어 방법

Watch Mode : 공격당하는 입장에서는 외부에서 들어오는 ICMP 를 차단하거나 네트워크 장비단에서 ICMP를 차단해도 된다.

• ICMP = 호스트 서버와 인터넷 게이트웨이 사이에서 메시지를 제어하고 오류를 알려 주는 프로토콜, 송신측의 상황과 목적지 노드의 상황을 진단하는 프로토콜이다.

---

sniffing

네트워크 통신 내용을 도청하는 행위*

• Sniffing은 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 엿듣는 것을 의미, 간단히 말하여 네트워크 트래픽을 도청(eavesdropping)하는 과정을 스니핑이라고 할 수 있다. 이런 스니핑을 할 수 있도록 하는 도구를 스니퍼(Sniffer)라고 한다.

• 스니핑은 보안의 기본 요소 중 기밀성을 해치는 공격 방법이다.

• 환경에 따라 허브 환경에서의 스니핑, 스위치 환경에서의 스니핑으로 나눌 수 있다.

1. 허브 환경에서의 스니핑

• 허브환경에서 통신을 할 때 패킷에는 수신자의 MAC 주소, 발신자의 MAC 주소, 평문(Source)가 담겨져 있다. 이 패킷은 허브에 연결된 모든 사용자에게 전송되며, 수신받은 패킷에 담긴 정보중 수신자의 MAC 주소와 일치하지 않으면 해당 패킷을 폐기하고, 해당되는 MAC 주소를 가진 수신자만 해당 패킷을 받을 수 있다. 이 때 NIC를 Promiscuous 모드로 설정하게 되면 패킷을 폐기하지 않고 확인 할 수 있다.

2. 스위치 환경에서의 스니핑

• 스위치는 허브와 달리 수신자에게만 패킷을 전송함으로 Promiscuous 모드를 하였어도 확인 할 수 없다. 그렇지만 스위치 환경에서의 공격법은 존재.

1. Switch jamming

  - 엉뚱한  MAC 주소를 가진 패킷을 계속하여 보냄으로써 스위치가 허브처럼 동작하도록 만들게 한다.
  - 많은 종류의 스위치가 주소 테이블이 가득 차게 되었을 때 패킷을 모든 포트로 브로드캐스팅하는 성질을 이용한 공격.

2. ARP Redirect

  - 공격자가 라우터의 MAC주소를 알아내어 타겟에게 자신이 라우터인 것처럼 속여서 통신할 패킷들이 공격자를 거친 후 라우터에게 가도록하는 해킹 기법.
  - 이 때 브로드캐스트 방법을 할 수 있어서 대상은 라우터와 연결된 모든 호스트가 될 수 있다.

3. ICMP Redirect

동작원리

1. 호스트는 기본적으로 라우터 A가 기본 라우터로 설정되어 있기 때문에, 호스트가 외부 호스트로 데이터를 보낼 때 라우터 A로 패킷을 보낸다.

2. 라우터 A는 호스트가 보낸 패킷이 B로 가는 것이 더 최적의 경로라고 판단하여 해당 패킷을 라우터 B로 보낸다.

3. 라우터 A는 호스트 B로 향하는 패킷을 호스트가 자신에게 다시 전달하지 않도록, 호스트 A에 ICMP 리다이렉트 패킷을 보내서 호스트가 외부 호스트로 보내는 패킷이 라우터 B로 보내도록 한다.

4. 호스트는 라우팅 테이블에 외부 호스트에 대한 값을 추가하고, 이후에 외부 호스트로 보내는 패킷은 라우터 B로 전달된다.

   • 같은 네트워크에 라우터가 둘 이상일 때( 로드 발렌싱 ) 가능할때 가능한 공격이다.
   • 라우팅 테이블역시 icmp 패킷에 대하여 올바른 패킷인지 확인할 메커니즘이 없음, 이 취약점을 이용하여 icmp 패킷을 보낸다.
   • icmp 패킷을 받은 호스트는 라우팅 테이블이 변경되어 공격자와 라우터를 바꿔 생각하게 된다.
   • 그 후에 ip forwording을 해주어 해킹중임을 숨긴다.

4. ICMP Router Advertisement

  -  ICMP Router Advertisement 메시지는 특정 호스트가 자신이 라우터라고 다른 호스트들에 대해 알리는 메시지이다. 공격자는 다른 호스트들이 자신을 라우터로 생각하게 하여 패킷이 자신으로 보내지도록 한다.

5. MAC Spoofing

  - 공격자가 타겟의 MAC주소로 위장하여 ARP 응답 패킷을 대상에 전송하는 방법으로 대상 시스템을 해킹하는 기법.
  - 공격자가 타겟의 MAC주소를 출발지 MAC주소로 하는 패킷을 지속적으로 보내면 스위치의 MAC 테이블에는 타겟의 MAC주소가 공격자의 것으로 착각하여 패킷을 공격자에게 보내줌.

6. 스위치에서의 SPAN/Monitor port 설정

  - 스위치의 port monitoring 기능을 공격. (Network Security 참고)
  - 공격자가 스위치에 접근 권한을 얻어내어 위와 같은 설정을 적용하여 공격자 시스템에 연결된 포트로 보낸다.

7.Mac flooding

MAC 테이블의 동작 원리

[그림 1]을 보면 현재 스위치에 저장된 MAC 정보는 포트 1과 3에 MAC A, C를 파악하고 있다. MAC A가 B와 통신하기 위해서 데이터를 전송하면, 스위치는 MAC B에 대한 저장된 정보가 없으므로, 플루딩을 실시한다. 플루딩이란 스위치가 MAC B에 대한 정보가 없어 허브의 동작과 동일하게 포트에 연결된 모든 호스트로 데이터들을 전송하는 것을 말한다. 스위치와 연결된 모든 호스트들은 MAC A가 전송한 데이터를 수신하며, 자신의 MAC 주소가 아닌 호스트들은 데이터를 폐기하지만, MAC B 호스트는 MAC A로 데이터를 전송한다. MAC B가 MAC A로 데이터를 전송하면, 스위치는 MAC B가 포트 2번에 연결되어 있음을 파악하고 MAC정보와 포트정보를 저장한다. 다시 MAC A가 MAC B와 통신을 할 경우 스위치는 저장된 MAC 정보를 이용해 플루딩하지 않고 바로 포트 2를 통해 MAC B로 전송하므로 MAC C에는 데이터가 전송되지 않는다.

=> 공격자가 피해자의 MAC Table을 가득 채워서 모든 패킷을 플러딩 하도록 만드는 기법, 스위치가 모든 패킷을 플러딩하게 되면 스위치가 허브와 같은 방식으로 동작하게 되고 공격자는 자연스럽게 중간에서 패킷을 가로채서 확인할 수 있는 스니핑이 가능하게 되고, 스위치는 과부하가 걸려 정상적인 통신이 되지 않게 하는 공격

대응책

Port Security

• 특정 포트에 학습할 수 있는 MAC의 갯수를 제한하여 허가된 MAC에만 접속 할 수 있게 하는 것.
• 설정조건
  • 단 Dynamic port는 설정이 불가능.
  • Span의 목적지포트는 불가능.
  • ether channel 은 설정 불가능.
  • 트렁크포트엔 Prectect를 활성화하지 않는것을 권장.
  • Access에 설정을 권장함.
• 학습 방법
  1. Static : 관리자가 직접 MAC주소르 지정한다.
  2. Dynamic : 스위치가 동적으로 학습하되, Maximum값의 갯수만큼 학습한다.
  3. sticky : 동적으로 학습을 하되, 전원이 종료되어도 지워지지않게 NVRAM에 저장한다.
• Violation Mode (설정조건 위배시 어떻게 행동할 것인지)
  1. Protect : 위반한 장비의 통신을 차단, 이 때 허용된 호스트는 통신이 가능.
  2. Restrict : Protect에 log를 발생시킴.
  3. Shutdown : 위반한 포트를 닫아버림. 닫힌 포트를 열기 위해선 해당 인터페이스에서 no shutdown을 해주면 된다.

대응책

• SSL, TLS 등 암호화 사용
• LAN 세그먼트를 세분화하여 세그먼트간의 트레픽을 전달하지 않도록 한다.
• 'Antisniff'라는 도구를 통해 네트워크 인터페이스가 promiscuius 모드인지 판별하여 차단.

---