스니퍼 스니핑을 감지하고 방지하는 방법
https를 지원하는 사이트 접속 등 일상적인 통신에는 높은 수준의 암호화 방식을 사용해 보세요. 컴퓨터 라우터의 비밀번호는 정기적으로 변경해야 하며, 정보 도용을 방지하기 위해 시스템을 다시 설치해야 합니다. 실제로 스니퍼가 있다면 조심하세요. 하지만 내 방법을 사용하면 방어 수준을 더 높은 수준으로 높일 수 있습니다. 아래에서 확인해 보세요!
스니퍼(sniffer)는 유용한 데이터를 수집하기 위해 일반적으로 사용되는 방법입니다. 이러한 데이터는 사용자 계정 및 비밀번호, 일부 상업 기밀 데이터 등이 될 수 있습니다. 스니퍼는 네트워크 패킷을 캡처할 수 있는 장치로 사용될 수 있습니다. ISS는 스니퍼를 다음과 같이 정의합니다. 스니퍼는 컴퓨터의 네트워크 인터페이스를 사용하여 다른 컴퓨터로 향하는 데이터 패킷을 가로채는 도구입니다.
스니퍼의 합법적인 사용은 주로 문제가 되는 네트워크에서 잠재적인 문제를 찾기 위해 네트워크 트래픽을 분석하는 것입니다. 예를 들어, 네트워크의 특정 부분이 제대로 작동하지 않고, 메시지 전송이 느리고, 문제가 어디에 있는지 모른다고 가정하면, 이때 스니퍼를 사용하여 정확한 판단을 내릴 수 있습니다. 문제. 합리적인 네트워크에서 스니퍼의 존재는 시스템 관리자에게 매우 중요합니다. 시스템 관리자는 스니퍼를 통해 눈에 보이지 않는 수많은 퍼지 문제를 진단할 수 있습니다. 이러한 문제에는 두 대 또는 여러 컴퓨터 간의 비정상적인 통신이 포함됩니다. sniffer2C 시스템 관리자의 도움으로 얼마나 많은 트래픽이 어떤 네트워크 프로토콜에 속하는지, 어떤 호스트가 기본 통신 프로토콜을 담당하는지, 어떤 호스트가 대부분의 통신 대상인지, 어떤 메시지를 전송하는 데 걸리는 시간 또는 전송 사이의 간격을 쉽게 확인할 수 있습니다. 호스트 간 메시지 전송 등. 이 정보는 관리자가 네트워크 문제를 판단하고 네트워크 영역을 관리하는 데 매우 귀중한 정보를 제공합니다.
스니퍼는 일반 키보드 캡처 프로그램과 다릅니다. 키보드 캡처 프로그램은 터미널에 입력된 키 값을 캡처하고, 스니퍼는 실제 네트워크 메시지를 캡처합니다.
스니퍼의 작동 원리를 심층적으로 이해하기 위해 먼저 HUB와 네트워크 카드의 원리를 간략하게 소개합니다.
사전 지식
HUB 작동 방식
이더넷(HUB 연결을 공유하는 공통 인트라넷) 등 많은 네트워크는 버스 방식을 기반으로 하기 때문에 물리적으로 브로드캐스트됩니다. 즉, 한 머신이 다른 머신으로 데이터를 보낼 때 공유 허브는 이를 먼저 받은 다음 받은 데이터를 서로에게 보냅니다. 따라서 해당 머신에 있는 모든 머신의 네트워크 카드는 전송되지 않습니다. 공유 허브 아래의 동일한 네트워크 세그먼트는 데이터를 수신할 수 있습니다.
스위칭 허브의 내부 단일 칩 프로그램은 각 포트의 MAC 주소를 기억할 수 있으며, 공유처럼 모든 포트에 전송하는 대신 나중에 이를 수신해야 하는 시스템에 전송합니다. HUB 포트이므로 스위칭 허브에서는 데이터를 수신하는 기기의 네트워크 카드만 데이터를 수신할 수 있습니다. 물론 브로드캐스트 패킷은 모든 포트로 전송됩니다. 분명히 공유 허브의 작업 모드는 두 시스템이 데이터를 전송할 때 다른 시스템이 다른 포트를 점유하도록 만듭니다. 따라서 공유 허브는 동시에 동일한 네트워크 세그먼트에서 두 시스템만 서로 통신할 수 있다고 결정합니다. HUB 전송 데이터를 교환하는 두 시스템, 다른 포트는 점유되지 않으므로 다른 포트도 동시에 데이터를 전송할 수 있습니다. 공유 허브와 교환 허브의 두 가지 차이점은 공유 허브는 동시에 하나의 머신에만 데이터를 보낼 수 있고, 데이터 교환 허브가 브로드캐스트되지 않는 한 모든 머신이 이를 수신할 수 있다는 것입니다. 동시에 기기와 교환됩니다. 데이터는 전송되며 해당 데이터는 비공개입니다.
네트워크 카드의 작동 원리
네트워크 카드의 작동 원리에 대해 이야기해 보겠습니다. 네트워크 카드가 전송된 데이터를 수신하면 네트워크 카드의 단일 칩 프로그램은 먼저 데이터 헤더의 대상 MAC 주소를 수신하고 컴퓨터의 네트워크 카드 드라이버가 설정한 수신 모드에 따라 이를 수신할지 여부를 결정합니다. 수신한 것으로 판단되면 수신 후 인터럽트 신호를 발생시켜 CPU에 통보하고, 수신하면 안 되는 데이터는 폐기한다. 컴퓨터는 그것에 대해 전혀 모릅니다.
CPU는 인터럽트 신호를 받아 인터럽트를 발생시킨다. 운영체제는 네트워크 카드 드라이버에 설정된 네트워크 카드 인터럽트 프로그램 주소에 따라 드라이버를 호출해 데이터를 수신한다. 처리할 운영 체제.
LAN 작동 방식
데이터는 프레임이라는 작은 단위로 네트워크에서 전송됩니다. 프레임은 여러 부분으로 구성되며 각 부분은 서로 다른 기능을 수행합니다. (예를 들어, 이더넷의 처음 12바이트는 소스 및 대상 주소를 저장합니다. 이 비트는 네트워크에 데이터의 소스 및 대상을 알려줍니다. 이더넷 프레임의 다른 부분은 실제 사용자 데이터와 TCP/IP 헤더를 저장합니다. 또는 IPX 헤더 등).
프레임은 특정 네트워크 드라이버에 의해 형성되어 네트워크 카드를 통해 네트워크 케이블로 전송됩니다. 네트워크 케이블을 통해 대상 시스템에 도달하고 대상 시스템의 한쪽 끝에서 역방향 프로세스를 수행합니다. 수신 시스템의 이더넷 카드는 이러한 프레임을 캡처하고 운영 체제에 도착 사실을 알리고 이를 저장합니다. 스니퍼가 보안 문제를 일으킬 수 있는 것은 바로 이 전송 및 수신 프로세스 동안입니다.
일반적으로 LAN(근거리 통신망)의 동일한 네트워크 세그먼트에 있는 모든 네트워크 인터페이스는 물리적 미디어에서 전송된 모든 데이터에 액세스할 수 있으며 각 네트워크 인터페이스에는 하드웨어 주소도 있어야 합니다. 이는 네트워크에 존재하는 다른 네트워크 인터페이스의 하드웨어 주소와 다릅니다. 동시에 각 네트워크에는 적어도 하나의 브로드캐스트 주소가 필요합니다. (모든 인터페이스 주소를 나타냄) 정상적인 상황에서 합법적인 네트워크 인터페이스는 다음 두 가지 유형의 데이터 프레임에만 응답해야 합니다.
1. 프레임의 대상 영역에는 로컬 네트워크와 일치하는 하드웨어가 있습니다. 인터페이스 주소.
2. 프레임의 대상 영역에는 "브로드캐스트 주소"가 있습니다.
위의 두 가지 상황에서 데이터 패킷을 수신하면 네트워크 카드는 CPU를 통해 하드웨어 인터럽트를 생성하여 운영 체제의 주의를 끌 수 있으며 프레임에 포함된 데이터를 추가 처리를 위한 시스템.
공유 허브를 사용할 때 사용자가 메시지를 보내면 이 메시지는 LAN에서 사용 가능한 모든 컴퓨터로 전송됩니다. 일반적인 상황에서 네트워크의 모든 시스템은 전달되는 트래픽을 "수신"할 수 있지만 자신에게 속하지 않은 패킷에는 응답하지 않습니다. 즉, 워크스테이션 A는 워크스테이션 B에 속한 데이터를 캡처하지 않지만 간단히 무시합니다. 이 데이터).
LAN에 있는 시스템의 네트워크 인터페이스가 무차별 모드인 경우(즉, 네트워크 카드는 수신하는 모든 데이터 패킷을 수신할 수 있으며 이에 대해서는 아래에서 자세히 설명함) 캡처할 수 있습니다. 네트워크의 모든 패킷과 프레임, 기계가 이런 방식으로 구성된 경우 해당 기계(소프트웨어 포함)는 스니퍼입니다.
스니퍼
스니퍼 원리
HUB와 네트워크 카드의 작동 원리를 통해 SNIFFER에 대해 이야기할 수 있습니다. 우선, SNIFFER가 캡처하려는 것은 물리적인 신호로 수신할 수 있는 메시지 정보여야 한다는 점을 알아야 합니다. 분명히 네트워크 카드가 수신하는 모든 패킷을 수신하도록 알림을 받는 한(일반적으로 무차별 모드라고 합니다. 이는 네트워크의 모든 장치가 자신의 데이터뿐만 아니라 버스에서 전송되는 데이터를 수신한다는 의미입니다.) **Xiang HUB에서는 이 네트워크 세그먼트의 모든 패킷을 수신할 수 있지만 스위칭 허브에서는 자체 패킷과 브로드캐스트 패킷만 수신할 수 있습니다.
Exchange HUB에서 다른 사람의 패킷을 받으려면 자신의 기기가 있는 포트로 패킷을 보내야 합니다. 스위칭 허브는 머신의 IP 및 MAC에 해당하는 ARP 목록과 마찬가지로 이 포트에서 데이터를 수신하고 소스 MAC을 기억하여 포트의 MAC을 기억합니다. 허브의 소켓, 이후 언급되는 모든 허브 포트는 네트워크 케이블 소켓) 및 MAC 테이블을 참조하므로 스위칭 허브를 속일 수 있습니다. 패킷을 보내고 소스 MAC을 수신하려는 머신의 MAC으로 설정할 수 있습니다. 그러면 스위칭 허브는 머신의 네트워크 케이블이 연결된 물리적 포트와 향후 해당 MAC로 전송됩니다. 해당 MAC은 네트워크 케이블 소켓으로 전송됩니다. 즉, 네트워크 카드가 스니퍼될 수 있습니다.
물리적 포트와 MAC 테이블은 머신의 ARP 테이블처럼 동적으로 새로 고쳐집니다. 허브는 해당 포트를 다시 기억하므로 실제로 두 개의 포트가 경쟁하는 경우에만 사용할 수 있습니다. 소량의 패키지로 충분합니다.
인트라넷의 IP 기반 통신은 ARP를 사용하여 다른 사람의 컴퓨터를 속여 두 당사자 간의 원래 통신에 영향을 주지 않으려면 두 당사자 모두를 속일 수 있습니다. 그런 다음 기계는 중개인 역할을 하는 것과 동일하게 기계에 의해 전달됩니다. 이는 ARP 및 프로그래밍을 사용하여 쉽게 달성됩니다. 그리고 이제 많은 장치가 원격 관리를 지원합니다. 하나의 포트를 설정하여 다른 포트를 모니터링할 수 있는 스위칭 허브가 많이 있지만 이를 위해서는 관리 권한이 필요합니다.
이를 사용하면 모든 이더넷 버스에서 데이터를 허용하도록 컴퓨터의 네트워크 연결을 설정하여 스니퍼를 구현할 수 있습니다. 스니퍼는 로컬 네트워크 카드 상태를 "기타" 상태로 설정할 수 있는 소프트웨어입니다. 네트워크 카드가 이 "기타" 모드에 있을 때 네트워크 카드는 "브로드캐스트 주소"를 가지며 모든 프레임에 대해 "브로드캐스트 주소"를 생성합니다. 하드웨어 인터럽트는 물리적 미디어를 통해 흐르는 각 패킷을 처리하도록 운영 체제에 경고하는 데 사용됩니다. (대부분의 네트워크 카드는 기타 모드로 설정할 수 있는 기능이 있습니다.)
스니퍼는 네트워크 환경의 최하위 계층에서 작동하는 것을 볼 수 있습니다. 스니퍼는 네트워크에서 전송되는 모든 데이터를 가로채서 전달합니다. 해당 소프트웨어를 통해 처리하면 이러한 데이터의 내용을 실시간으로 분석한 다음 네트워크 상태와 전체 레이아웃을 분석할 수 있습니다. 주목할 만한 점은 스니퍼가 매우 조용하고 수동적인 보안 공격이라는 것입니다.
스니퍼는 기능과 디자인이 다양합니다. 일부는 하나의 프로토콜만 분석할 수 있는 반면 다른 일부는 수백 개의 프로토콜을 분석할 수 있습니다. 일반적으로 대부분의 스니퍼는 최소한 표준 이더넷, TCP/IP, IPX, DECNet 프로토콜을 분석할 수 있습니다.
스니퍼로 인한 피해
스니핑은 네트워크 인프라의 최하위 계층에서 작동합니다. 일반적으로 사용자는 이 레이어를 직접 다루지 않으며, 일부는 이 레이어가 존재한다는 사실조차 알지 못합니다. 따라서 스니퍼의 피해는 상당하다고 할 수 있습니다. 일반적으로 스니퍼의 사용은 네트워크 속임수의 시작입니다. 피해 가능성:
스니퍼는 비밀번호를 알아낼 수 있습니다. 이것이 아마도 대부분의 스니퍼가 불법적으로 사용되는 이유일 것입니다. 스니퍼는 전송된 사용자 ID와 비밀번호를 일반 텍스트로 기록할 수 있습니다.
독점 정보 또는 기밀 정보를 캡처하는 능력. 예를 들어, 금융 계좌의 경우 많은 사용자가 온라인에서 신용 카드나 현금 계좌를 사용하여 안전하다고 느낍니다. 그러나 스니퍼는 온라인으로 전송되는 사용자 이름, 비밀번호, 신용 카드 번호, 만료일, 계좌 번호 및 핀을 쉽게 가로챌 수 있습니다. 예를 들어, 침입자는 기밀 또는 민감한 정보 데이터를 엿보기 위해 데이터 패킷을 가로채서 다른 사람 사이의 민감한 정보 전송을 쉽게 녹음하거나 전체 이메일 대화 프로세스를 간단히 가로챌 수 있습니다.
네트워크 이웃의 보안을 손상시키거나 더 높은 수준의 액세스를 얻는 데 사용될 수 있습니다.
Snoop 하위 수준 프로토콜 정보입니다.
두 호스트 간의 네트워크 인터페이스 주소, 원격 네트워크 인터페이스 IP 주소, IP 라우팅 정보 및 TCP 연결 번호의 바이트 순서 등 기본 정보 프로토콜을 기록하는 것은 끔찍한 일입니다. 등. 불법 침입자가 이 정보를 장악하면 네트워크 보안에 큰 해를 끼칠 수 있습니다. 일반적으로 누군가가 스니퍼를 사용하여 이 정보를 수집하는 이유는 단 하나입니다. 즉, 스푸핑을 수행하려는 경우입니다(일반적으로 IP 주소 스푸핑을 수행하려면 정확하게 입력해야 합니다). TCP 연결 바이트 시퀀스 번호) 누군가 이 문제에 관심이 있다면 스니퍼는 그에게 서막일 뿐이며 문제는 앞으로 훨씬 더 커질 것입니다. (고급 해커들에게는 이것이 스니퍼를 사용하는 유일한 이유라고 생각합니다)
사실 네트워크에 승인되지 않은 스니퍼가 있다면, 이는 귀하의 시스템이 다른 사람들 앞에 노출되었다는 의미입니다.
일반적으로 스니퍼는 각 메시지의 처음 200~300바이트만 스니핑합니다.
이 섹션에는 사용자 이름과 비밀번호가 모두 포함되어 있으며 이는 우리가 관심을 갖는 실제 부분입니다. 작업자는 특정 인터페이스에서 모든 메시지를 스니핑할 수도 있습니다. 저장 및 처리를 위한 공간이 충분하다면 다른 매우 흥미로운 점을 발견할 수 있습니다...
단순 스니퍼를 배치하고 아무 곳에나 배치하는 것은 효과가 없습니다. 많이 좋아. 스니퍼를 공격받는 시스템이나 네트워크 근처에 배치하여 많은 암호를 캡처하도록 하십시오. 또 다른 더 좋은 방법은 게이트웨이에 배치하는 것입니다. 스니퍼는 일반적으로 라우터나 라우터 기능이 있는 호스트에서 실행됩니다. 이를 통해 많은 양의 데이터를 모니터링할 수 있습니다. 스니퍼는 2단계 공격입니다. 일반적으로 공격자는 이미 대상 시스템에 진입한 후 더 많은 정보를 얻기 위해 스니퍼 공격 방법을 사용합니다. 이렇게 하면 해당 네트워크와 다른 네트워크 간의 신원 인증 과정을 캡쳐할 수 있다