5주차 네트워크 공부내용 정리

스니핑(Sniffing)

• 사전적 의미 : 코를 킁킁 거리다 => 상대방의 패킷 교환을 엿듣는것. 즉, 네트워크 트래픽 도청하는 과정
• 수동적(Passive) 공격 : 공격할때 아무것도 하지 않아도 충분. 왜? 자기가 뭔가 작업을 하면서 정보를 빼오는 것이 아니라 단순히 엿듣는것. 
• 전화선이나 UTP에 탭핑(Tapping)해서 전기신호를 분석하여 정보 찾아냄
  탭핑(Tapping)이란? : 탭 이라는 도구를 통해 가공하는것. 즉 기계적인 방법을 통해 유선으로 데이터를 도청하는 것.
• 전기신호(Emanation)를 템페스트(Tempest) 장비를 이용해 분석하는 것
  템페스트(Tempest)란? : 컴퓨터나 주변 기기에서 나오는 미약한 전자파에서 정보를 훔쳐내는 기술.

스니핑의 모드

• 정규모드(Normal Mode)
  : 자신의 컴퓨터에 전송되는 패킷만 받고 자신과 관련없는 패킷은 삭제
• 프러미스큐어스 모드(Promiscuous Mode) => 무차별 모드
  - 모든 패킷을 스니퍼에게 넘겨주는것(사용자).
      => 2계층과 3계층의 필터링을 해제시켜 LAN카드에 들어오는 모든 트래픽 수신
      원래 2계층과 3계층 정보가 자신의 IP, MAC주소와 일치하지 않은 패킷은 무시함
  - 리눅스, 유닉스 등의 운영체제에서는 랜카드에 대한 모드 설정이 가능
  - 윈도우에서는 스니핑을 위한 드라이버 설치 필요
• 바이패스 모드(Bypass Mode)
  - 하드웨어적으로 스니핑을 실시.
  - 패킷에 대한 분석까지 하드웨어로 구현되어 있는 LAN카드사용
  - 기가바이트(GByte)단위의 백본 망에서 스니핑을 하기 위한 장비로 고가

# 스니핑을 하는데 왜 렌카드가 중요할까?

: 스니핑은 네트워크카드를 조작하여 네트워크에 접속 해야함. 네트워크 카드 = 랜카드

TCP Dump

• 리눅스에서 가장 기본이 되는, 하지만 가장 강력한 스니핑 툴
• 처음에는 네트워크 관리 용도로 개발. => 관리자 성향 강함
• TCP Dump로 획득한 증거 자료는 법적 효력이 있음
• 네트워크 인터페이스를 거치는 패킷들의 헤더를 출력해주는 프로그램

 

스푸핑(Spoofing)

• '속이다'는 의미
• 인터넷이나 로컬에 존재하는 모든 연결에 스푸핑 가능
• 정보를 얻어내기 위한 중간 단계의 기술로 사용하는 것 외에 시스템을 마비시키는데 사용 가능

ARP 스푸핑

• MAC주소를 속이는것. 단, 2계층에서 작동하기 때문에 공격대상이 같은 랜에 있어야 한다. 랜에서의 통신 흐름을 왜곡시키는 공격. 공격 대상 컴퓨터와 서버 사이의 트래픽을 공격자의 컴퓨터로 우회시켜 정보를 획득

IP 스푸핑

• 본인의 IP주소를 속이는것. 다른 사람의 컴퓨터 시스템에 접근할 목적으로 IP주소를 변조한 후 합법적인 사용자인 것처럼 위장하여 시스템에 접근해서 나중에 IP주소에 대한 추적을 피하는 해킹기법

DNS 스푸핑

• DNS는 인터넷 연결시 도메인 주소를 실제 IP주소로 대응시켜주는 프로토콜.
  공격자가 DNS서버를 장악하거나 사용자와 같은 DNS사이의 트래픽을 스니핑 하여 공격자가 설정한 임의의 IP주소를 사용자에게 보내서 원하는 사이트로 이동시키는것과 같은 공격 => 요약하면 잘못된 주소를 보내 이상한 사이트 접속시킴

 

TCP(Transmission Control Protocol) : 전송 조절 프로토콜.

IP(Internet Protocol) : 패킷 통신 방식.

TCP/IP : IP의 주소 체계를 따르고 IP Routing을 이용해서 목적지에 도달하며 TCP의 특성을 활용해서 송신자와 수신자의 논리적 연결을 생성하고, 신뢰성을 유지할 수 있도록 하겠다는 것.

=> 송신자가 수신자에게 IP주소를 사용하여 데이터를 전달하고 그 데이터가 제대로 갔는지, 너무 빠르지는 않는지, 제대로 받았다고 연락은 오는지에 대한 이야기 하는것

3계층 : IP가 활용되는 부분. 경로와 목적지를 찾아주는 것을 라우팅이라고 함. 다른 대역의 IP들이 목적지를 제대로 찾아갈 수 있도록 돕는 역할

4계층 : TCP가 활용되는 부분. 송신자와 수신자의 논리적 연결담당. 신뢰성있는 연결 유지하도록 도움. 사용자간의 연결생성, 데이터를 얼마나 보내고 받았는지, 제대로 받았는지 확인. -> 이거 확인하는 과정이 핸드쉐이크

 

IP주소

• 유일한 주소 => 만약 해당 주소를 둘 이상이 사용할 경우 IP주소가 충돌하여 하나만 사용 가능
• But, 한정된 IP주소를 전부 사용해버려서 요즘은 같은 주소 사용하기도 함.
  => 내부 내트워크에는 공인되지 않은 IP주소사용하다가 인터넷 사용시에만 공인된 유일한 IP를 사용하는 NAT, 동일한 IP를 사용하다 인터넷 접속시 포트 넘버만 바꾸는 PAT 
• 네자리의 10진수 ex) 192.168.1.100
• .으로 한자리씩 구분
• 각 자리별로 255까지 가능. 왜? 2진수를 10진수로 나타낸거니까.
  => IP는 2진수 8자리 4묶음으로 되어있다. 각 묶음을 옥테트(octet)라고 부른다.