³×Æ®¿öÅ© ½º´ÏÇÎ ±â¼ú ¹× ¹æÁö´ëÃ¥ CERTCC-KR cert@certcc.or.kr, http://www.certcc.or.kr
I. ½º´ÏÇÎÀ̶õ? ½º´ÏÆÛ(sniffer)´Â ¿ø·¡ Network Associate»çÀÇ µî·Ï»óÇ¥¿´À¸³ª ÇöÀç´Â PC³ª kleenexó·³ ÀϹÝÀûÀÎ ¿ë¾î·Î »ç¿ëµÇ°í ÀÖ´Ù. "sniff"¶ó´Â ´Ü¾îÀÇ ÀǹÌ(³¿»õ¸¦ ¸Ã´Ù, ÄÚ¸¦ ůů°Å¸®´Ù)¿¡¼µµ ¾Ë ¼ö ÀÖµíÀÌ ½º´ÏÆÛ´Â "ÄÄÇ»ÅÍ ³×Æ®¿öÅ©»ó¿¡ Èê·¯´Ù´Ï´Â Æ®·¡ÇÈÀ» ¿³µè´Â µµÃ»ÀåÄ¡"¶ó°í ¸»ÇÒ ¼ö ÀÖ´Ù. ±×¸®°í "½º´ÏÇÎ"À̶õ ÀÌ·¯ÇÑ ½º´ÏÆÛ¸¦ ÀÌ¿ëÇÏ¿© ³×Æ®¿öÅ©»óÀÇ µ¥ÀÌÅ͸¦ µµÃ»ÇÏ´Â ÇàÀ§¸¦ ¸»ÇÑ´Ù. ÀÌ·¯ÇÑ ½º´ÏÇÎ °ø°ÝÀº À¥È£½ºÆÃ, ÀÎÅͳݵ¥ÀÌÅͼ¾ÅÍ(IDC) µî°ú °°ÀÌ ¿©·¯ ¾÷ü°¡ °°Àº ³×Æ®¿öÅ©¸¦ °øÀ¯Çϴ ȯ°æ¿¡¼´Â ¸Å¿ì À§ÇùÀûÀÎ °ø°ÝÀÌ µÉ ¼ö ÀÖ´Ù. ÇϳªÀÇ ½Ã½ºÅÛÀÌ °ø°Ý ´çÇÏ°Ô µÇ¸é ±× ½Ã½ºÅÛÀ» ÀÌ¿ëÇÏ¿© ³×Æ®¿öÅ©¸¦ µµÃ»ÇϰԵǰí, ´Ù¸¥ ½Ã½ºÅÛÀÇ User ID/Passwd¸¦ ¾Ë¾Æ³»°Ô µÈ´Ù. ºñ·Ï ½ºÀ§Äª ȯ°æÀÇ ³×Æ®¿öÅ©¸¦ ±¸ÃàÇÏ¿© ½º´ÏÇÎÀ» ¾î·Æ°Ô ÇÒ ¼ö´Â ÀÖÁö¸¸ À̸¦ ¿ìȸÇÒ ¼ö ÀÖ´Â ¸¹Àº °ø°Ý¹æ¹ýÀÌ Á¸ÀçÇÑ´Ù. º» ¹®¼´Â ½ºÀ§Äª ȯ°æ¿¡¼ÀÇ ½º´ÏÇÎ °ø°Ý ±â¹ý°ú ±×¸®°í ÀÌ¿¡ ´ëÇÑ ´ëÃ¥À» ¼³¸íÇÑ´Ù. LAN »ó¿¡¼ °³º° È£½ºÆ®¸¦ ±¸º°Çϱâ À§ÇÑ ¹æ¹ýÀ¸·Î ÀÌ´õ³Ý ÀÎÅÍÆäÀ̽º´Â MAC(Media Access Control) ÁÖ¼Ò¸¦ °®°Ô µÇ¸ç, ¸ðµç ÀÌ´õ³Ý ÀÎÅÍÆäÀ̽ºÀÇ MAC ÁÖ¼Ò´Â ¼·Î ´Ù¸¥ °ªÀ» °®´Â´Ù. µû¶ó¼ ·ÎÄà ³×Æ®¿öÅ©»ó¿¡¼ °¢ °¢ÀÇ È£½ºÆ®´Â À¯ÀÏÇÏ°Ô ±¸º°µÉ ¼ö ÀÖ´Ù. ´ÙÀ½Àº ÀÌ´õ³Ý(ethernet) ÇÁ·¹ÀÓÀÇ Æ÷¸ËÀ» ³ªÅ¸³½´Ù.
ÀÌ´õ³ÝÀº ·ÎÄà ³×Æ®¿öÅ©³»ÀÇ ¸ðµç È£½ºÆ®°¡ °°Àº ¼±(wire)À» °øÀ¯Çϵµ·Ï µÇ¾î ÀÖ´Ù. µû¶ó¼ °°Àº ³×Æ®¿öÅ©³»ÀÇ ÄÄÇ»ÅÍ´Â ´Ù¸¥ ÄÄÇ»ÅÍ°¡ Åë½ÅÇÏ´Â ¸ðµç Æ®·¡ÇÈÀ» º¼ ¼ö ÀÖ´Ù. ÇÏÁö¸¸ ÀÌ´õ³ÝÀ» Áö³ª´Â ¸ðµç Æ®·¡ÇÈÀ» ¹Þ¾ÆµéÀÌ¸é °ü°è¾ø´Â Æ®·¡ÇȱîÁö ó¸®ÇØ¾ß ÇϹǷΠȿÀ²ÀûÀÌÁö ¸øÇÏ°í ³×Æ®¿öÅ©ÀÇ ¼º´Éµµ ÀúÇ쵃 ¼ö ÀÖ´Ù. ±×·¡¼ ÀÌ´õ³Ý ÀÎÅÍÆäÀ̽º(LAN Ä«µå)´Â ÀÚ½ÅÀÇ MAC address¸¦ °®Áö ¾Ê´Â Æ®·¡ÇÈÀ» ¹«½ÃÇÏ´Â ÇÊÅ͸µ ±â´ÉÀ» °¡Áö°í ÀÖ´Ù. ÀÌ ÇÊÅ͸µ ±â´ÉÀº ÀÚ½ÅÀÇ MAC address¸¦ °¡Áø Æ®·¡Çȸ¸À» º¸µµ·Ï ÇÑ´Ù. ¶ÇÇÑ ÀÌ´õ³Ý ÀÎÅÍÆäÀ̽º¿¡¼ ¸ðµç Æ®·¡ÇÈÀ» º¼ ¼ö ÀÖµµ·Ï ÇÏ´Â ±â´ÉÀ» ¼³Á¤ÇÒ ¼öµµ Àִµ¥ À̸¦ "promiscuous mode"¶ó ÇÑ´Ù. ½º´ÏÆÛ´Â ÀÌ´õ³Ý ÀÎÅÍÆäÀ̽º¸¦ ÀÌ·¯ÇÑ "promiscuous mode"·Î ¼³Á¤ÇÏ¿© ·ÎÄà ³×Æ®¿öÅ©¸¦ Áö³ª´Â ¸ðµç Æ®·¡ÇÈÀ» µµÃ»ÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
III. ½ºÀ§Äª ȯ°æ¿¡¼ÀÇ ½º´ÏÇÎ ±â¹ý ÀϹÝÀûÀ¸·Î ¾Õ¼ ¼³¸íÇÑ ½º´ÏÇÎÀ» ¹æÁöÇÏ´Â ¹æ¹ýÀ¸·Î ½ºÀ§Äª Çãºê¸¦ »ç¿ëÇÏ°Ô µÈ´Ù. ½ºÀ§Äª Çãºê´Â ·ÎÄà ³×Æ®¿öÅ©¸¦ ¿©·¯°³ÀÇ ¼¼Å©¸ÕÆ®·Î ³ª´©¾î ¾µ ¼ö ÀÖµµ·Ï Çϴµ¥, °¢ ¼¼±×¸ÕÆ®³»ÀÇ Æ®·¡ÇÈÀº ´Ù¸¥ ¼¼±×¸ÕÆ®·Î Àü´ÞµÇÁö ¾Ê´Â´Ù. µû¶ó¼ ½ºÀ§Äª Çãºê¸¦ ÀÌ¿ëÇÏ¿© ¾÷¹«º°·Î ¶Ç´Â µ¶¸³ÀûÀÎ »çÀÌÆ®º°·Î ³×Æ®¿öÅ©¸¦ ³ª´©¾î ³õÀ¸¸é ´Ù¸¥ ³×Æ®¿öÅ© ¼¼±×¸ÕÆ®³»ÀÇ ³×Æ®¿öÅ© Æ®·¡ÇÈÀ» µµÃ»ÇÒ ¼ö ¾ø°Ô µÈ´Ù. ÇÏÁö¸¸ Switch Jamming, ARP Redirct³ª ICMP Redirct µîÀÇ ±â¹ýÀ» ÀÌ¿ëÇÏ¿© ´Ù¸¥ ³×Æ®¿öÅ© ¼¼±×¸ÕÆ®ÀÇ µ¥ÀÌÅ͸¦ ½º´ÏÇÎ ÇÒ ¼ö ÀÖ´Â ¹æ¹ýµµ ÀÖ´Ù. 1. Switch Jamming ¸¹Àº Á¾·ùÀÇ ½ºÀ§Ä¡µéÀº ÁÖ¼Ò Å×À̺íÀÌ °¡µæÂ÷°Ô µÇ¸é(Full) ¸ðµç ³×Æ®¿öÅ© ¼¼±×¸ÕÆ®·Î Æ®·¹ÇÈÀ» ºê·ÎµåÄɽºÆÃÇÏ°Ô µÈ´Ù. µû¶ó¼ °ø°ÝÀÚ´Â À§Á¶µÈ MAC ÁÖ¼Ò¸¦ Áö¼ÓÀûÀ¸·Î ³×Æ®¿öÅ©¿¡ È긲À¸·Î¼ ½ºÀ§Äª ÇãºêÀÇ ÁÖ¼Ò Å×À̺íÀ» ¿À¹öÇÃ·Î¿ì ½ÃÄÑ ´Ù¸¥ ³×Æ®¿öÅ© ¼¼±×¸ÕÆ®ÀÇ µ¥ÀÌÅ͸¦ ½º´ÏÇÎ ÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ÀÌ´Â º¸¾È ¿ø¸®ÀÇ ÇϳªÀÎ "Fail close(½Ã½ºÅÛ¿¡ ÀÌ»óÀÌ ÀÖÀ» °æ¿ì º¸¾È±â´ÉÀÌ ¹«·ÂȵǴ °ÍÀ» ¹æÁöÇÏ´Â ¿ø¸®)"¸¦ µû¸£Áö ¾Ê±â ¶§¹®¿¡ ¹ß»ýÇÑ´Ù. ½ºÀ§Ä¡µéÀº »ç½Ç»ó º¸¾Èº¸´Ù´Â ±â´É°ú ¼º´É À§ÁÖ·Î µðÀÚÀÎ µÇ¾î ÀÖ´Ù. ´ÙÀ½Àº arp flooding °ø°ÝÀ» ÇÒ ¶§ ¹ß»ýÇÏ´Â ÀÓÀÇÀÇ arp ÆÐŶÀ» tcpdump¸¦ ÀÌ¿ëÇÏ¿© ÀâÀº°ÍÀÌ´Ù. °ø°ÝÀÚ°¡ ¸¸µé¾î³½ ÀÌ·¯ÇÑ ÀÓÀÇÀÇ arp ÆÐŶÀÇ MAC ÁÖ¼Ò´Â ½ºÀ§Ä¡ÀÇ ÁÖ¼Ò Å×À̺íÀ» ¿À¹öÇÃ·Î¿ì ½ÃÅ°°Ô µÈ´Ù.
2. ARP Redirect °ø°Ý ¸ÕÀú Á¤»óÀûÀÎ ARP Protocol¿¡ ´ëÇÏ¿© ¼³¸íÇÑ´Ù. IP µ¥ÀÌÅÍ ±×·¥¿¡¼ IP ÁÖ¼Ò´Â 32 bit ±¸Á¶·Î µÇ¾î ÀÖ°í ÀÌ´õ³Ý ÁÖ¼Ò(MAC ÁÖ¼Ò)´Â 48 bitÀÇ Å©±â¸¦ °®´Â´Ù. ´Ù¸¥ È£½ºÆ®·Î ftp³ª telnet µî°ú °°Àº ³×Æ®¿öÅ© ¿¬°áÀ» Çϱâ À§Çؼ´Â »ó´ë¹æ È£½ºÆ®ÀÇ ÀÌ´õ³Ý ÁÖ¼Ò¸¦ ¾Ë¾Æ¾ß ÇÑ´Ù. Áï, »ç¿ëÀÚ´Â IP ÁÖ¼Ò¸¦ ÀÌ¿ëÇÏ¿© ¿¬°áÀ» ÇÏÁö¸¸ ÀÌ´õ³Ý»ó¿¡¼´Â ÀÌ´õ³Ý ÁÖ¼Ò¸¦ ÀÌ¿ëÇÏ°Ô µÈ´Ù. À̸¦ À§ÇÏ¿© IPÁÖ¼Ò¸¦ ÀÌ´õ³Ý ÁÖ¼Ò·Î º¯È¯½ÃÄÑ ÁÖ¾î¾ß Çϴµ¥ À̸¦ ARP(Address Resolution Protocol)¶ó ÇÑ´Ù. ±×¸®°í ±× ¿ª °úÁ¤À» RARP(Reverse Address Resolution Protocol)¶ó ÇÑ´Ù. ARP¸¦ ÀÌ¿ëÇÏ¿© »ó´ë È£½ºÆ®ÀÇ ÀÌ´õ³Ý ÁÖ¼Ò¸¦ ¾Ë¾Æ³»´Â °úÁ¤Àº ´ÙÀ½°ú °°´Ù. ¨ç ¸ÕÀú ³×Æ®¿öÅ©³»ÀÇ ¸ðµç È£½ºÆ®¿¡ "ARP Request"¶ó°í ºÒ¸®´Â ÀÌ´õ³Ý ÇÁ·¹ÀÓÀ» º¸³½´Ù. ¿¬°áÇÏ°íÀÚ Çϴ ȣ½ºÆ®ÀÇ IP ÁÖ¼Ò¸¦ Æ÷ÇÔÇÑ ARP Request´Â ÀÌ´õ³Ý»óÀÇ ¸ðµç ´Ù¸¥ È£½ºÆ®µé¿¡°Ô "ÀÌ IP ÁÖ¼Ò¸¦ »ç¿ëÇϴ ȣ½ºÆ®´Â ³ª¿¡°Ô Çϵå¿þ¾î ÁÖ¼Ò(ÀÌ´õ³Ý ÁÖ¼Ò)¸¦ ¾Ë·ÁÁֽÿÀ"¶ó´Â Àǹ̸¦ °®´Â´Ù. ¨è ARP Request¸¦ ¹ÞÀº È£½ºÆ® Áß ÇØ´ç IP¸¦ »ç¿ëÇϴ ȣ½ºÆ®´Â ÀÚ½ÅÀÇ Çϵå¿þ¾î ÁÖ¼Ò(ÀÌ´õ³Ý ÁÖ¼Ò)¸¦ ARP Request¸¦ º¸³½ È£½ºÆ®¿¡°Ô¸¸ º¸³»ÁÖ°Ô µÇ´Âµ¥ À̸¦ ARP Reply¶ó°í ÇÑ´Ù. ¨é ÀÌÈÄ µÎ È£½ºÆ®°£ÀÇ Åë½Å(ftp, telnet µî)À» À§ÇÏ¿© »ó´ë¹æÀÇ ÀÌ´õ³Ý ÁÖ¼Ò¸¦ »ç¿ëÇÏ°Ô µÇ¸ç, IP datagramÀ» ¼Û¼ö½ÅÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ´ÙÀ½ ±×¸²Àº ARP Request¿Í ARP ReplyÀÇ °úÁ¤À» º¸¿©ÁÖ°í ÀÖ´Ù. ´ÙÀ½Àº ½ÇÁ¦·Î 172.16.2.15 ¹ø È£½ºÆ®¿¡¼ 172.16.2.26¹øÀ¸·Î pingÀ» ÇßÀ» °æ¿ì ³ªÅ¸³ª´Â arp Æ®·¡ÇÈÀÌ´Ù. arp request/reply¸¦ ±³È¯ÇÑ µÎ È£½ºÆ®´Â »ó´ë¹æÀÇ MAC ÁÖ¼Ò¸¦ °¢°¢ÀÇ arp cache¿¡ ÀúÀåÇÏ°Ô µÈ´Ù. µû¶ó¼ ¸¶Áö¸· ¶óÀο¡¼ 172.16.2.26¹ø È£½ºÆ®°¡ 15¹ø È£½ºÆ®·Î echo reply¸¦ º¸³¾¶§´Â arp request/reply °úÁ¤À» °ÅÄ¡Áö ¾Ê¾Æµµ µÈ´Ù.
"ARP Redirect" °ø°ÝÀº À§Á¶µÈ arp reply¸¦ º¸³»´Â ¹æ¹ýÀ» »ç¿ëÇÑ´Ù. Áï °ø°ÝÀÚ È£½ºÆ®°¡ "³ªÀÇ MAC ÁÖ¼Ò°¡ ¶ó¿ìÅÍÀÇ MAC ÁÖ¼ÒÀÌ´Ù"¶ó´Â À§Á¶µÈ arp reply¸¦ ºê·ÎµåÄɽºÆ®·Î ³×Æ®¿öÅ©¿¡ ÁÖ±âÀûÀ¸·Î º¸³»¾î, ½ºÀ§Äª ³×Æ®¿öÅ©»óÀÇ ´Ù¸¥ ¸ðµç È£½ºÆ®µéÀÌ °ø°ÝÀÚ È£½ºÆ®¸¦ ¶ó¿ìÅÍ·Î ¹Ï°Ô²ûÇÑ´Ù. °á±¹ ¿ÜºÎ ³×Æ®¿öÅ©¿ÍÀÇ ¸ðµç Æ®·¡ÇÈÀº °ø°ÝÀÚ È£½ºÆ®¸¦ ÅëÇÏ¿© Áö³ª°¡°Ô µÇ°í °ø°ÝÀÚ´Â ½º´ÏÆÛ¸¦ ÅëÇÏ¿© ÇÊ¿äÇÑ Á¤º¸¸¦ µµÃ»ÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ¡Ø ARP Protocol specification¿¡ ÀÇÇϸé ÀÌ¹Ì cache¿¡ ÀúÀåÇÏ°í ÀÖ´Â IP¿¡ ´ëÇÑ ARP request¸¦ ¹Þ°ÔµÇ¸é È£½ºÆ®´Â ARP request¸¦ º¸³½ È£½ºÆ®ÀÇ MAC ÁÖ¼Ò¸¦ cahe¿¡ ¾÷µ¥ÀÌÆ® ÇÏ°Ô µÈ´Ù°í ³ª¿Í ÀÖ´Ù. ±×¸®°í ÀÌ·¯ÇÑ cacheÀÇ ¾÷µ¥ÀÌÆ® ±â´ÉÀº arp reply¿¡µµ Àû¿ëµÇ´Â °ÍÀ¸·Î º¸À̸ç, À§ÀÇ °ø°ÝÀÌ ¼º°øÇÒ ¼ö ÀÖ´Â ¿äÀÎÀÌ µÈ´Ù. ÇÏÁö¸¸ ½Ã½ºÅÛ¿¡ µû¶ó ´Ù¸¦ ¼öµµ ÀÖ´Ù. À̶§ °ø°Ý È£½ºÆ®´Â IP Forwarding ±â´ÉÀ» ¼³Á¤ÇÏ¿©¾ß °ø°Ý È£½ºÆ®·Î ¿À´Â ¸ðµç Æ®·¡ÇÈÀ» ¿ø·¡ÀÇ °ÔÀÌÆ®¿þÀÌ·Î Forwarding ÇØÁÙ ¼ö ÀÖ´Ù. ±×·¸Áö ¾ÊÀ¸¸é ¿ÜºÎ·Î ³ª°¡´Â ¸ðµç ³×Æ®¿öÅ© ¿¬°áÀÌ ²÷¾îÁö°Ô µÈ´Ù. ´ÙÀ½Àº "arpredirect"¶ó´Â °ø°Ý ÇÁ·Î±×·¥À¸·Î °ø°ÝÇßÀ» ¶§ ³×Æ®¿öÅ©»ó¿¡ ³ªÅ¸³ª´Â arp ÆÐŶÀ» tcpdump¸¦ ÀÌ¿ëÇÏ¿© ÀâÀº ¸ð½ÀÀÌ´Ù. °ø°ÝÀÌ ³¡³¯¶§´Â ¿ø·¡ÀÇ arp ¸ÅÇÎÀ» º¹¿øÇÏ¿© ³×Æ®¿öÅ© ¿¬°áÀÌ ²÷¾îÁöÁö ¾Êµµ·Ï ÇÏ°í ÀÖ´Ù.
¡Ø À§Á¶µÈ ÆÐŶÀ» ÁÖ±âÀûÀ¸·Î º¸³»´Â ÀÌÀ¯´Â ´Ù¸¥ È£½ºÆ®ÀÇ arp cache¸¦ Áö¼ÓÀûÀ¸·Î À§Á¶Çϱâ À§Çؼ ÀÌ´Ù. À§¿Í °°Àº °ø°ÝÀ» ÇÏ°ÔµÇ¸é ´Ù¸¥ ¸ðµç È£½ºÆ®µéÀº °ø°ÝÀÚ È£½ºÆ®¸¦ ¶ó¿ìÅÍ·Î ÀνÄÇÏ°í ¿ÜºÎ·Î ¿¬°áµÇ´Â ¸ðµç Æ®·¡ÇÈÀ» °ø°Ý È£½ºÆ®·Î º¸³»°Ô µÇ´Âµ¥ À̶§ °ø°ÝÀÚ´Â ´ÙÀ½°ú °°ÀÌ IP Forwarding ±â´ÉÀ» ÀÌ¿ëÇÏ¿© ¿ø·¡ÀÇ ¸ñÀûÁö·Î ÆÐŶÀ» Forwarding Çؾ߸¸ ³×Æ®¿öÅ©°¡ ²÷¾îÁöÁö ¾Ê°ÔµÇ°í, °ø°ÝÀÚ´Â Áö³ª°¡´Â ÆÐŶÀ» ½º´ÏÇÎÇÒ ¼ö ÀÖ´Ù.
3. ARP spoofing °ø°Ý ARP redirect¿Í ºñ½ÁÇÑ °ø°Ý ¹æ¹ýÀ¸·Î ´Ù¸¥ ¼¼±×¸ÕÆ®¿¡ Á¸ÀçÇϴ ȣ½ºÆ®°£ÀÇ Æ®·¡ÇÈÀ» ½º´ÏÇÎÇÏ°íÀÚ ÇÒ ¶§ »ç¿ëµÈ´Ù. °ø°ÝÀÚ´Â ÀÚ½ÅÀÇ MAC ÁÖ¼Ò¸¦ ½º´ÏÇÎÇÏ°íÀÚ ÇÏ´Â µÎ È£½ºÆ®ÀÇ MAC ÁÖ¼Ò·Î À§ÀåÇÏ´Â arp reply(¶Ç´Â request) ÆÐŶÀ» ³×Æ®¿öÅ©¿¡ »Ñ¸°´Ù. Áï "³ªÀÇ(°ø°ÝÀÚÀÇ) MAC ÁÖ¼Ò°¡ ½º´ÏÇÎÇÏ°íÀÚ Çϴ ȣ½ºÆ®ÀÇ MAC ÁÖ¼ÒÀÌ´Ù"¶ó´Â arp reply¸¦ °¢ °¢ÀÇ È£½ºÆ®¿¡°Ô º¸³»°Ô µÈ´Ù. ÀÌ·¯ÇÑ arp reply¸¦ ¹ÞÀº µÎ È£½ºÆ®´Â ÀÚ½ÅÀÇ arp cache¸¦ ¾÷µ¥ÀÌÆ® ÇÏ°Ô µÇ°í, µÎ È£½ºÆ®°£¿¡ ¿¬°áÀÌ ÀϾ ¶§ °ø°ÝÀÚ È£½ºÆ®ÀÇ MAC ÁÖ¼Ò¸¦ »ç¿ëÇÏ°Ô µÈ´Ù. °á±¹ µÎ È£½ºÆ®°£ÀÇ ¸ðµç Æ®·¢ÇÈÀº °ø°ÝÀÚ°¡ À§Ä¡ÇÑ ¼¼±×¸ÕÆ®·Î µé¾î¿À°Ô µÈ´Ù. ÀÌ·¯ÇÑ °æ¿ì arp redirect °ø°Ý°ú ¸¶Âù°¡Áö·Î °ø°ÝÀÚ È£½ºÆ®·Î ³Ñ¾î¿À´Â Æ®·¡ÇÈÀ» º»·¡ÀÇ È£½ºÆ®·Î relay ÇØÁÖ¾î¾ß¸¸ µÎ È£½ºÆ® °£¿¡ Á¤»óÀûÀÎ ¿¬°áÀ» ÇÒ ¼ö ÀÖ°Ô µÇ°í ½º´ÏÇεµ ÇÒ ¼ö ÀÖ´Ù. ±×·¸Áö ¾ÊÀ¸¸é µÎ È£½º°£ÀÇ ¿¬°áÀº ÀÌ·ç¾î Áú ¼ö ¾ø°Ô µÇ°í °á±¹ ½º´ÏÇεµ ÇÒ ¼ö ¾ø°Ô µÈ´Ù. ´ÙÀ½Àº "arpmitm"À̶ó´Â °ø°Ý ÇÁ·Î±×·¥À» ÀÌ¿ëÇÏ¿© 172.16.2.15¿Í 172.16.2.18¹ø È£½ºÆ®°£ÀÇ Æ®·¡ÇÈÀ» ½º´ÏÇÎ Çϱâ À§ÇÑ °ø°ÝÇßÀ» ¶§ ³×Æ®¿öÅ©»ó¿¡ ³ªÅ¸³ª´Â arp ÆÐŶÀ» tcpdump¸¦ ÀÌ¿ëÇÏ¿© ÀâÀº ¸ð½ÀÀÌ´Ù.
¡Ø À§Á¶µÈ ÆÐŶÀ» ÁÖ±âÀûÀ¸·Î º¸³»´Â ÀÌÀ¯´Â Target È£½ºÆ®ÀÇ arp cache¸¦ Áö¼ÓÀûÀ¸·Î À§Á¶Çϱâ À§Çؼ ÀÌ´Ù. 4. ICMP Redirect °ø°Ý ICMP(Internet Control Message Protocol)´Â ³×Æ®¿öÅ© ¿¡·¯ ¸Þ½ÃÁö¸¦ Àü¼ÛÇϰųª ³×Æ®¿öÅ© È帧À» ÅëÁ¦Çϱâ À§ÇÑ ÇÁ·ÎÅäÄÝÀε¥ ICMP Redirect¸¦ ÀÌ¿ëÇؼ ½º´ÏÇÎ ÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀÌ Á¸ÀçÇÑ´Ù. ICMP Redirect ¸Þ½ÃÁö´Â ÇϳªÀÇ ³×Æ®¿öÅ©¿¡ ¿©·¯°³ÀÇ ¶ó¿ìÅÍ°¡ ÀÖÀ» °æ¿ì, È£½ºÆ®°¡ ÆÐŶÀ» ¿Ã¹Ù¸¥ ¶ó¿ìÅÍ¿¡°Ô º¸³»µµ·Ï ¾Ë·ÁÁÖ´Â ¿ªÇÒÀ» ÇÑ´Ù. °ø°ÝÀÚ´Â À̸¦ ¾Ç¿ëÇÏ¿© ´Ù¸¥ ¼¼±×¸ÕÆ®¿¡ Àִ ȣ½ºÆ®¿¡°Ô À§Á¶µÈ ICMP Redirect ¸Þ½ÃÁö¸¦ º¸³» °ø°ÝÀÚÀÇ È£½ºÆ®·Î ÆÐŶÀ» º¸³»µµ·ÏÇÏ¿© ÆÐŶÀ» ½º´ÏÇÎÇÏ´Â ¹æ¹ýÀÌ´Ù. 5. ½ºÀ§Ä¡ÀÇ span/monitor port¸¦ ÀÌ¿ëÇÑ ½º´ÏÇÎ ÀÌ ¹æ¹ýÀº ½ºÀ§Ä¡¿¡ ÀÖ´Â monitor Æ÷Æ®¸¦ ÀÌ¿ëÇÏ¿© ½º´ÏÇÎ ÇÏ´Â ¹æ¹ýÀÌ´Ù. monitor Æ÷Æ®¶õ ½ºÀ§Ä¡¸¦ Åë°úÇÏ´Â ¸ðµç Æ®·¡ÇÈÀ» º¼ ¼ö ÀÖ´Â Æ÷Æ®·Î ³×Æ®¿öÅ© °ü¸®¸¦ À§ÇØ ¸¸µé¾î ³õÀº °ÍÀÌÁö¸¸ °ø°ÝÀÚ°¡ Æ®·¡ÇȵéÀ» ½º´ÏÇÎÇÏ´Â ÁÁÀº Àå¼Ò¸¦ Á¦°øÇÑ´Ù.
IV. ½º´ÏÇÎ ¹æÁö ´ëÃ¥ ³×Æ®¿öÅ© ¼³Á¤À» ÅëÇÏ¿© ½º´ÏÇÎÀ» ¾î·Æ°Ô ÇÏ´Â ¸¹Àº ¹æ¹ýÀÌ ÀÖÀ¸³ª °¡Àå ÁÁÀº ¹æ¹ýÀº µ¥ÀÌÅ͸¦ ¾ÏÈ£È ÇÏ´Â °ÍÀÌ´Ù. µ¥ÀÌÅ͸¦ ¾ÏÈ£È ÇÏ°ÔµÇ¸é ½º´ÏÇÎÀ» ÇÏ´õ¶óµµ ³»¿ëÀ» º¼ ¼ö ¾ø°Ô µÈ´Ù. SSL, PGP µî ÀÎÅÍ³Ý º¸¾ÈÀ» À§ÇÑ ¸¹Àº ¾ÏÈ£È ÇÁ·ÎÅäÄÝÀÌ Á¸ÀçÇÑ´Ù. ÇÏÁö¸¸, ÀÏ°üµÈ ¾ÏÈ£ ÇÁ·ÎÅäÄÝÀÇ ºÎÀç, »ç¿ëÀÇ ¾î·Á¿ò, ¾ÏÈ£ ¾îÇø®ÄÉÀ̼ÇÀÇ ºÎÀç·Î ÀÎÇÏ¿© ¾Ïȣȸ¦ »ç¿ëÇÒ ¼ö ¾ø´Â °æ¿ì°¡ ¸¹ÀÌ ÀÖÀ¸¸ç, ÀÌ·¯ÇÑ °æ¿ì °¡´ÉÇÑÇÑ ½º´ÏÇÎ °ø°ÝÀ» ¾î·Æµµ·Ï ³×Æ®¿öÅ©¸¦ ¼³Á¤ÇÏ°í °ü¸®ÇÏ¿©¾ß ÇÑ´Ù. ƯÈ÷, À¥È£½ºÆÃ, ÀÎÅͳݵ¥ÀÌÅͼ¾ÅÍ(IDC) µî°ú °°ÀÌ ¿©·¯ ¾÷ü°¡ °°Àº ³×Æ®¿öÅ©¸¦ °øÀ¯Çϴ ȯ°æ¿¡¼´Â ½º´ÏÇÎÀ¸·ÎºÎÅÍÀÇ º¸¾È ´ëÃ¥ÀÌ ¸¶·Ã µÇ¾î¾ß ÇÑ´Ù. ½º´ÏÇÎ ¹æÁö¸¦ À§ÇÑ ´ëÃ¥À¸·Î ¸ÕÀú ³×Æ®¿öÅ©¸¦ ½º´ÏÇÎÇϴ ȣ½ºÆ®¸¦ ÁÖ±âÀûÀ¸·Î Á¡°ËÇÏ´Â ¹æ¹ýÀÌ ÀÖ´Ù. ÀÌ·¯ÇÑ Á¡°ËÀ» ÅëÇÏ¿© ´©°¡ ³×Æ®¿öÅ©¸¦ µµÃ»ÇÏ´ÂÁö ŽÁöÇÏ¿© Á¶Ä¡ÇÏ¿©¾ß ÇÑ´Ù. ¸î ¸î ħÀÔŽÁö½Ã½ºÅÛ(IDS)Àº ÀÌ·¯ÇÑ ½º´ÏÇÎ °ø°ÝÀ» ŽÁöÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ ½ºÀ§Äª ȯ°æÀÇ ³×Æ®¿öÅ©¸¦ ±¸¼ºÇÏ¿©(ºñ·Ï ½º´ÏÇÎÀÌ °¡´ÉÇϱâ´Â ÇÏÁö¸¸) µÇµµ·Ï ½º´ÏÇÎÀÌ ¾î·Æµµ·Ï ÇÏ¿©¾ß ÇÑ´Ù. 1. ¾ÏÈ£È 1.1 SSL ¾ÏÈ£ÈµÈ À¥¼ÇÎÀ» °¡´ÉÇÏ°Ô ÇØÁÖ´Â SSL(Secure Sockets Layer)Àº ¸¹Àº À¥¼¹ö¿Í ºê¶ó¿ìÀú¿¡ ±¸ÇöµÇ¾î ÀÖ´Ù. ±×¸®°í ´ëºÎºÐÀÇ ÀüÀÚ»ó°Å·¡ »çÀÌÆ®¿¡ Á¢¼ÓÇÏ¿© ½Å¿ëÄ«µå Á¤º¸¸¦ º¸³¾ ¶§ »ç¿ëµÈ´Ù. Âü°í »çÀÌÆ® : http://www.modssl.org/ 1.2 PGP and S/MIME ÀüÀÚ¸ÞÀÏ(E-mail) ¶ÇÇÑ ¸¹Àº ¹æ¹ýÀ¸·Î ½º´ÏÇεǰí ÀÖ´Ù. ÀÎÅͳݻóÀ¸ ¿©·¯°÷¿¡¼ ¸ð´ÏÅ͸µµÉ ¼öµµ ÀÖÀ¸¸ç, À߸ø Àü´ÞµÉ ¼öµµ ÀÖ´Ù. ÀüÀÚ¸ÞÀÏÀ» º¸È£Çϱâ À§ÇÑ °¡Àå ¾ÈÀüÇÑ ¹æ¹ýÀº ¸ÞÀÏÀ» ¾ÏÈ£È ÇÏ´Â ¹æ¹ýÀ̸ç, °¡Àå ´ëÇ¥ÀûÀÎ ¹æ¹ýÀº PGP¿Í S/MIMEÀ» »ç¿ëÇÑ´Ù. PGP´Â add-on Á¦Ç°À¸·Î »ç¿ëµÇ°í ÀÖÀ¸¸ç, S/MIMEÀº ÀüÀÚ¸ÞÀÏ ÇÁ·Î±×·¥¿¡ ±¸ÇöµÇ¾î ÀÖ´Ù. 1.3 ssh ssh(Secure Shell)Àº À¯´Ð½º ½Ã½ºÅÛ¿¡ ¾ÏÈ£ÈµÈ ·Î±×ÀÎÀ» Á¦°øÇÏ´Â »ç½Ç»ó Ç¥ÁØÀ¸·Î »ç¿ëµÇ°í ÀÖ´Ù. telnet ´ë½Å¿¡ ¹ÝµíÀÌ sshÀ» »ç¿ëÇÏ¿©¾ß ÇÑ´Ù. sshÀ» Á¦°øÇÏ´Â ¸¹Àº °ø°³µÈ µµ±¸µéÀÌ Á¸Àç ÇÑ´Ù. 1.4 VPN VPN(Virtual Private Networks)Àº ÀÎÅͳݻ󿡼 ¾ÏÈ£ÈµÈ Æ®·¡ÇÈÀ» Á¦°øÇÑ´Ù. ÇÏÁö¸¸ VPNÀ» Á¦°øÇÏ´Â ½Ã½ºÅÛÀÌ ÇØÅ·´çÇÒ °æ¿ì¿¡´Â ¾ÏÈ£È µÇ±â ÀÌÀüÀÇ µ¥ÀÌÅÍ°¡ ½º´ÏÇÎ ´çÇÒ ¼ö ÀÖ´Ù. 2. ½ºÀ§Äª ȯ°æÀÇ ³×Æ®¿öÅ© ±¸¼º ½ºÀ§Ä¡¸¦ ÀÌ¿ëÇÏ¿© ¾÷¹« ¼º°Ý¿¡ µû¶ó ±×¸®°í ó¸®ÇÏ´Â µ¥ÀÌÅÍ¿¡ µû¶ó ¼¼±×¸ÕÆ®¸¦ ±¸ºÐÇÏ¿© ³×Æ®¿öÅ©¸¦ ±¸¼ºÇÒ ¼ö ÀÖ´Ù. ½ºÀ§Ä¡´Â Æ®·¡ÇÈÀ» Àü´ÞÇÒ ¶§ ¸ðµç ¼¼±×¸ÕÆ®·Î ºê·ÎµåÄɽºÆ® ÇÏÁö ¾Ê°í ÇØ´ç ¼¼±×¸ÕÆ®¿¡¸¸ Àü´ÞÇϹǷΠÀÏ¹Ý Çãºê¸¦ »ç¿ëÇÏ´Â °Íº¸´Ù ¾ÈÀüÇÏ´Ù. ÇÏÁö¸¸ ¾Õ¼ ¼³¸íÇÑ "½ºÀ§Äª ȯ°æ¿¡¼ÀÇ ½º´ÏÇÎ ±â¹ý"°ú °°Àº °ø°ÝÀ» ÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ °°Àº ¼¼±×¸ÕÆ®³»¿¡¼ÀÇ ½º´ÏÇÎÀº ¸·À» ¼ö ¾ø´Ù. ½ºÀ§Ä¡¸¦ ¼³Á¤ÇÒ °æ¿ì, ½ºÀ§Ä¡ÀÇ ÁÖ¼Ò Å×À̺íÀ» staticÇÏ°Ô ¼³Á¤ÇÏ¿© "½ºÀ§Äª ȯ°æ¿¡¼ÀÇ ½º´ÏÇÎ"À» ¸·À» ¼ö ÀÖ´Â ¹æ¹ýÀÌ ÀÖ´Ù. ¾Æ·¡¿Í °°ÀÌ ½ºÀ§Ä¡ÀÇ °¢ Æ÷Æ®¿¡ ´ëÇÏ¿© MAC ÁÖ¼Ò¸¦ static(permanent)ÇÏ°Ô ´ëÀÀ½ÃÅ°¸é ARP spoofing, ARP redirect µîÀÇ °ø°ÝÀ» ¸·À» ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ ¹æ¹ýÀº º¸¾È°ü¸®¿¡ ¸¹Àº ½Ã°£À» ¼Ò¸ðÇÏ°Ô µÇÁö¸¸ ¸Å¿ì È¿°úÀûÀÎ ´ëÀÀ¹æ¹ý ÀÌ´Ù.
3. ½º´ÏÆÛ Å½Áö ¸ðµç ½º´ÏÆÛ´Â ³×Æ®¿öÅ© ÀÎÅÍÆäÀ̽º¸¦ "promiscuous mode"·Î ¼³Á¤ÇÏ¿© ³×Æ®¿öÅ©¸¦ µµÃ»ÇÏ°Ô µÈ´Ù. µû¶ó¼ È£½ºÆ®°¡ "promiscuous mode"·Î ¼³Á¤µÇ¾î ÀÖ´ÂÁö ÁÖ±âÀûÀ¸·Î Á¡°ËÇÏ¿© ½º´ÏÆÛ°¡ ½ÇÇàµÇ°í ÀÖ´Â ½Ã½ºÅÛÀ» ŽÁöÇÏ¿©¾ß ÇÑ´Ù. ½º´ÏÇÎ ±â¼ú°ú ¸¶Âù°¡Áö·Î ½º´ÏÆÛ¸¦ ŽÁöÇÏ´Â ¹æ¹ýµµ °íµµÈ µÇ°í ÀÖ´Ù. ´ÙÀ½Àº "promiscuous mode"·Î ¼³Á¤µÈ ½Ã½ºÅÛÀ» ŽÁöÇÏ´Â ¹æ¹ý¿¡ ´ëÇÏ¿© ¼³¸íÇÑ´Ù. ¾Æ·¡ÀÇ ´ëºÎºÐÀÇ ¹æ¹ýµéÀº ÁÖ·Î ·ÎÄà ³×Æ®¿öÅ©³»¿¡¼ ŽÁö°¡´ÉÇÑ ¹æ¹ýÀÌ´Ù. 3.1 pingÀ» ÀÌ¿ëÇÏ´Â ¹æ¹ý ´ëºÎºÐÀÇ ½º´ÏÆÛ´Â ÀÏ¹Ý TCP/IP ½ºÅû󿡼 µ¿ÀÛÇϱ⠶§¹®¿¡ request¸¦ ¹ÞÀ¸¸é ±×¿¡ ÇØ´çÇÏ´Â response¸¦ Àü´ÞÇϰԵȴÙ. pingÀ» ÀÌ¿ëÇÑ ½º´ÏÆÛ Å½Áö ¹æ¹ýÀº ÀǽÉÀÌ °¡´Â ½Ã½ºÅÛ¿¡°Ô pingÀ» º¸³»´Âµ¥ MAC ÁÖ¼Ò¸¦ À§ÀåÇÏ¿© º¸³»´Â ¹æ¹ýÀÌ´Ù. ¨ç MAC ÁÖ¼Ò¸¦ À§Á¶ÇÏ¿©(·ÎÄà ³×Æ®¿öÅ©¿¡ Á¸ÀçÇÏÁö ¾Ê´Â MAC ÁÖ¼Ò »ç¿ë)ÇÏ¿© ping(ICMP Echo Request)À» ´Ù¸¥ ½Ã½ºÅÛ¿¡°Ô º¸³½´Ù. ¨è¨é ¸¸¾à ping reply(ICMP Echo Reply)¸¦ ¹Þ°ÔµÇ¸é, ÇØ´ç È£½ºÆ®°¡ ½º´ÏÇÎÀ» ÇÏ°í ÀÖ´Â °ÍÀÌ´Ù. ¿Ö³ÄÇϸé Á¸ÀçÇÏÁö ¾Ê´Â MAC ÁÖ¼Ò¸¦ »ç¿ëÇ߱⠶§¹®¿¡ ½º´ÏÇÎÀ» ÇÏÁö ¾Ê´Â È£½ºÆ®´Â ´©±¸µµ ping request¸¦ º¼ ¼ö ¾ø°ÔµÇ¸ç, reply¸¦ ÇÏÁö ¾Ê°Ô µÈ´Ù. ´ÙÀ½Àº "sentinel" À̶ó´Â ½º´ÏÆÛ Å½Áöµµ±¸¸¦ ÀÌ¿ëÇÏ¿© 33¹ø È£½ºÆ®¿¡ ´ëÇÏ¿© ping Å×½ºÆ®¸¦ ÇÏ´Â °úÁ¤ÀÌ´Ù. Å×½ºÆ® °á°ú°¡ "positive"¶ó°í ³ª¿À¸ç ÀÌ´Â 33¹ø È£½ºÆ®°¡ "promiscuous mode"·Î ¼³Á¤µÇ¾î ÀÖÀ½À» ÀǹÌÇÑ´Ù.
´ÙÀ½Àº sentinelÀÌ ½ÇÇàµÉ ¶§ ³×Æ®¿öÅ©¿¡ ³ªÅ¸³ª´Â Æ®·¡ÇÈÀ» º¸¿©ÁØ´Ù. 6, 8¹ø ¶óÀο¡¼ "icmp: echo reply"°¡ ȸ½ÅµÇ´Â °ÍÀ» º¼ ¼ö ÀÖ´Ù.
3.2 ARP¸¦ ÀÌ¿ëÇÏ´Â ¹æ¹ý ping ¹æ¹ý°ú À¯»çÇÑ ¹æ¹ýÀ¸·Î non-broadcast·Î À§Á¶µÈ ARP request¸¦ º¸³ÂÀ» ¶§ ARP response°¡ ¿À¸é »ó´ë¹æ È£½ºÆ®°¡ "promiscuous mode"·Î ¼³Á¤µÇ¾î ÀÖ´Â °ÍÀÌ´Ù. ´ÙÀ½Àº 33¹ø È£½ºÆ®¿¡°Ô À§Á¶µÈ ARP request¸¦ º¸³»¾î ARP reply°¡ ¿À´ÂÁö¸¦ Å×½ºÆ®ÇÏ´Â °úÁ¤ÀÌ´Ù. ¸¶Âù°¡Áö·Î °á°ú°¡ "positive"·Î ³ª¿À°Ô µÇ¸é ÀÌ´Â 33¹ø È£½ºÆ®°¡ "promiscuous mode"·Î ¼³Á¤µÇ¾î ÀÖÀ½À» ÀǹÌÇÑ´Ù.
´ÙÀ½Àº sentinelÀÌ ½ÇÇàµÉ ¶§ ³×Æ®¿öÅ©¿¡ ³ªÅ¸³ª´Â Æ®·¡ÇÈÀ» º¸¿©ÁØ´Ù. 4, 6¹ø ¶óÀο¡¼ arp reply°¡ ȸ½ÅµÇ´Â °ÍÀ» º¼ ¼ö ÀÖ´Ù.
3.3 DNS ¹æ¹ý ÀϹÝÀûÀ¸·Î ½º´ÏÇÎ ÇÁ·Î±×·¥Àº »ç¿ëÀÚÀÇ ÆíÀǸ¦ À§ÇÏ¿© ½º´ÏÇÎÇÑ ½Ã½ºÅÛÀÇ IP ÁÖ¼Ò¸¦ º¸¿©ÁÖÁö ¾Ê°í µµ¸ÞÀÎ ³×ÀÓÀ» º¸¿©ÁÖ±â À§ÇÏ¿© Inverse-DNS lookupÀ» ¼öÇàÇÏ°Ô µÈ´Ù. µû¶ó¼ DNS Æ®·¡ÇÈÀ» °¨½ÃÇÏ¿© ½º´ÏÆÛ¸¦ ŽÁöÇÒ ¼öµµ ÀÖ´Ù. ÀÌ ¹æ¹ýÀº ¿ø°Ý ¶Ç´Â ·ÎÄà ³×Æ®¿öÅ© ¸ðµÎ¿¡¼ ÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀÌ´Ù. ¿ø°Ý¿¡¼ Å×½ºÆ® ´ë»ó ³×Æ®¿öÅ©·Î Ping sweepÀ» º¸³»°í, µé¾î¿À´Â Inverse-DNS lookupÀ» °¨½ÃÇÏ¿© ½º´ÏÆÛ¸¦ ŽÁöÇÒ ¼ö ÀÖ´Ù. ·ÎÄÿ¡¼ ÇÒ °æ¿ì¿¡´Â À§Á¶µÈ IP ÁÖ¼Ò·Î IP datagramÀ» º¸³»°í ÀÌ¿¡ ´ëÇÑ DNS lookupÀÌ ÀÖ´ÂÁö °¨½ÃÇÏ¿© ½º´ÏÆÛ¸¦ ŽÁöÇÒ ¼ö ÀÖ´Ù. 3.4 À¯ÀÎ(decoy) ¹æ¹ý ½º´ÏÆÛ¸¦ ½ÇÇàÇÏ´Â °ø°ÝÀÚ´Â ÀϹÝÀûÀ¸·Î »ç¿ëÀÚ ID¿Í Æнº¿öµå¸¦ µµÃ»ÇÑ´Ù. ±×¸®°í µµÃ»ÇÑ ID¿Í Æнº¿öµå¸¦ ÀÌ¿ëÇÏ¿© ´Ù¸¥ ½Ã½ºÅÛÀ» °ø°ÝÇÏ°Ô µÈ´Ù. µû¶ó¼ ³×Æ®¿öÅ©»ó¿¡ Ŭ¶óÀ̾ðÆ®/¼¹ö¸¦ ¼³Á¤ÇÏ¿© ¹Ì¸®¼³Á¤µÈ »ç¿ëÀÚ ID¿Í Æнº¿öµå¸¦ Áö¼ÓÀûÀ¸·Î Èê·Á °ø°ÝÀÚ°¡ ÀÌ Æнº¿öµå¸¦ »ç¿ëÇÏ°Ô ²ûÇÑ´Ù. °ü¸®ÀÚ´Â IDS ¶Ç´Â ³×Æ®¿öÅ© °¨½Ã ÇÁ·Î±×·¥À» ÀÌ¿ëÇÏ¿© ÀÌ·¯ÇÑ ¹Ì¸®¼³Á¤µÈ ID¿Í Æнº¿öµå¸¦ »ç¿ëÇÏ´Â ½Ã½ºÅÛÀ» ŽÁöÇÔÀ¸·Î¼ ½º´ÏÆÛ¸¦ ŽÁöÇÒ ¼ö ÀÖ´Ù. http://www.zurich.ibm.com/Technology/Security/extern/gsal/sniffer_detector.html 3.5 host method È£½ºÆ® ´ÜÀ§¿¡¼ "promiscuous mode"¸¦ È®ÀÎÇÏ´Â ¹æ¹ýÀ¸·Î "ifconfig -a" ¸í·ÉÀ» ÀÌ¿ëÇÏ¿© È®ÀÎÇÒ ¼ö ÀÖ´Ù. ´ÙÀ½ÀÇ °á°ú¿¡¼ "PROMISC" ºÎºÐÀ» º¸°í "promiscuous mode"°¡ ¼³Á¤µÇ¾î ÀÖÀ½À» ¾Ë ¼ö ÀÖ´Ù.
4. ³×Æ®¿öÅ© °ü¸® ¾Õ¼ ¼³¸í¹Ù¿Í °°ÀÌ ½º´ÏÆÛ¸¦ ŽÁöÇÒ ¼ö ÀÖ´Â ¸¹Àº ¹æ¹ýÀÌ Á¸ÀçÇÏ¸ç ¶ÇÇÑ À̸¦ ±¸ÇöÇÑ °ø°³¿ë µµ±¸°¡ ÀÖ´Ù. ³×Æ®¿öÅ© °ü¸®ÀÚ´Â ÀÌ·¯ÇÑ µµ±¸¸¦ ÀÌ¿ëÇÏ¿© ÁÖ±âÀûÀ¸·Î ½º´ÏÆÛÀÇ ¼³Ä¡ ¿©ºÎ¸¦ °¨½ÃÇÔÀ¸·Î¼ ¿ÜºÎ·ÎºÎÅÍÀÇ °ø°ÝÀÚ¸¦ Æ÷ÇÔÇÏ¿© ¾ÇÀÇÀÇ ³»ºÎ »ç¿ëÀÚ¸¦ ŽÁöÇÒ ¼ö ÀÖ´Ù. ´ÙÀ½Àº ¾Õ¼ ¼³¸íÇÑ °ø°ÝÀ» ŽÁöÇϴµ¥ »ç¿ëÇÒ ¼ö ÀÖ´Â °ø°³¿ë µµ±¸¿¡ ´ëÇÏ¿© ¼³¸íÇÑ´Ù. 4.1 ARPwatch ARP Æ®·¡ÇÈÀ» ¸ð´ÏÅ͸µÇÏ¿© MAC/IP ¸ÅĪÀ» °¨½ÃÇÏ´Â ÇÁ·Î±×·¥À¸·Î Ãʱ⿡ ¼³Á¤µÈ ARP ¿£Æ®¸®(ethernet/ip addr)°¡ º¯ÇÏ°Ô µÇ¸é À̸¦ ŽÁöÇÏ¿© °ü¸®ÀÚ¿¡°Ô ¸ÞÀÏ·Î Å뺸ÇØ ÁÖ´Â µµ±¸ÀÌ´Ù. ´ëºÎºÐÀÇ °ø°Ý±â¹ýÀÌ À§Á¶µÈ ARP¸¦ »ç¿ëÇϱ⠶§¹®¿¡ À̸¦ ½±°Ô ŽÁöÇÒ ¼ö ÀÖ´Ù. ´ÙÀ½Àº "arpwatch -d"¸¦ ½ÇÇàÇÏ¿© Ãʱâ ethernet/ip ½Ö¿¡ ´ëÇÑ µ¥ÀÌÅͺ£À̽º¸¦ ¸¸µç °ÍÀÌ´Ù. ÀÌÈÄ "arpwatch"¸¦ ½ÇÇàÇÏ°Ô µÇ¸é Ãß°¡µÇ°Å³ª º¯°æµÇ´Â ethernet/ip ½Ö¿¡ ´ëÇÏ¿© ¸ÞÀÏÀ» ÅëÇÏ¿© °æ°í¸¦ ÁְԵȴÙ. °ü¸®ÀÚ´Â ¸ÞÀÏÀ» ÅëÇÏ¿© ARP¸¦ ÀÌ¿ëÇÑ °ø°ÝÀ» ŽÁöÇÏ°í ´ëÀÀÇÒ ¼ö ÀÖ´Ù.
ARPwatch ´Ù¿î·Îµå »çÀÌÆ® : ftp://ftp.ee.lbl.gov/ 4.2 Sentinel SentinelÀº ¾Õ¼ ¼³¸íÇÑ ½º´ÏÆÛ¸¦ ŽÁöÇÏ´Â ¹æ¹ýÀ» ±¸ÇöÇÑ µµ±¸ÀÌ´Ù. 4°¡Áö ¹æ¹ýÀ¸·Î ½º´ÏÆÛ¸¦ ŽÁöÇÒ ¼ö Àִµ¥ ÀÌÁß "ICMP Ping Latency test(-i ¿É¼Ç)"´Â ¾ÆÁ÷ ±¸ÇöµÇÁö ¾Ê¾Ò´Ù. ³×Æ®¿öÅ© °ü¸®ÀÚ´Â ³»ºÎ ³×Æ®¿öÅ©ÀÇ ¸ðµç È£½ºÆ®¿¡ ´ëÇÏ¿© ÀÌ¿Í °°Àº µµ±¸¸¦ »ç¿ëÇÏ¿© ÁÖ±âÀûÀ¸·Î ½º´ÏÆÛ°¡ ¼³Ä¡µÇ¾î ÀÖ´ÂÁö Á¡°ËÇØ º¸¾Æ¾ß ÇÑ´Ù. ±×¸®°í ½º´ÏÆÛ°¡ ¼³Ä¡µÈ °ÍÀ¸·Î ÀǽÉÀÌ °¡´Â È£½ºÆ®´Â öÀúÇÑ ºÐ¼®¸¦ ¼öÇàÇÏ°í ¸¸¾à ħÀÔÀ» ´çÇÏ¿´À» °æ¿ì¿¡´Â º¹±¸¸¦ Çϵµ·Ï ÇÏ¿©¾ß ÇÑ´Ù. ½Ã½ºÅÛ ºÐ¼® ¹× º¹±¸¿¡ ´ëÇؼ´Â ´Ù¸¥ ±â¼ú¹®¼¿¡¼ ´Ù·çµµ·Ï ÇÑ´Ù. Methods: [ -a ARP test ] ´ÙÀ½Àº sentinelÀ» ÀÌ¿ëÇÏ¿© ½º´ÏÆÛ¸¦ ŽÁöÇÏ´Â ¿¹ÀÌ´Ù. # ./sentinel -t 192.168.1.2 -a ; arp test against 192.168.1.2 Sentinel ´Ù¿î·Îµå »çÀÌÆ® : http://www.packetfactory.net/projects/sentinel/ [Âü°í¹®Çå ¹× Âü°í»çÀÌÆ®] 1. TCP/IP Illustrated, Volume1, The Protocols, W.Richard Stevens, ADDISON-WESLEY |
Ãâó : cert