스위칭 허브(=L2 스위치)
더미 허브와 달리 유입된 프레임의 목적지 MAC 주소의 포트로만 프레임을 전달해주는 네트워크 장비(OSI 2계층 MAC주소 기반 네트워크 장치)
L2 스위치 전송 방식
1) Cut-through : 수신 프레임의 목적지 주소(처음 6byte)만 확인 후 포워딩 ⇒ 처리 속도가 빠르고 에러 감지가 어려움
2) Store-and-Fowarding : 스위치가 수신된 모든 프레임에 대해 CRC 값으로 에러 여부 확인 후 포워딩 ⇒ 처리 속도가 느리고 에러 감지가 용이함
3) Fragment-free : 프레임의 최소 크기(앞 64byte) 정보만 읽고 충돌 발생 여부 확인 후 포워딩 ⇒ 처리 속도와 에러 감지 모두 적당함
► 전송 속도 : Cut-through > Frame-free > Store-and-Forward
L2 스위치의 기능 5가지
1) Learning 기능 : 특정 포트로 유입된 프레임의 출발지 MAC 주소를 기반으로 MAC Address Table을 생성하여 포트별 연결된 장비의 MAC 주소를 식별한다. (Mac Table)
2) Forwarding 기능 : 생성된 MAC Address Table을 참조하여 전송할 프레임의 목적지 MAC 주소의 포트로 프레임을 전달한다.
3) Filtering 기능 : 목적지 포트 외에는 프레임을 전송하지 않는다. (Collision Domain)
4) Flooding 기능 : MAC Address Table에 등록되지 않은 목적지 MAC 주소의 프레임은 더미 허브와 동일하게 모든 포트로 프레임을 전송한다. (Broadcast)
5) Aging 기능 : 스위치는 MAC 주소를 학습하여 MAC Table에 저장한다. 정해진 시간 내에 프레임이 들어오지 않으면 MAC 주소는 삭제된다. 에이징 시간은 조정 가능하다. (Aging time)
L2 스위치 환경에서의 Sniffing 방법
Switching Jamming / MAC Flooding
Switch의 MAC Address table을 모두 채워서 스위치가 허브처럼 동작하게 강제적으로 만들어 패킷을 스니핑하려는 기법을 말한다. 일반적으로 공격자는 MAC address table을 채우기 위해 변조한 MAC 정보를 담고 있는 ARP Reply 패킷을 계속해서 전송한다.
ARP Spoofing / ARP Cache Poisoning
공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 만들어 희생자에게 지속해서 전송하면 희생자의 ARP Cache table에 특정 호스트의 MAC 주소가 공격자의 MAC 주소로 변조된다. 이를 통해서 희생자로부터 외부 네트워크로 나가는 패킷을 공격자가 스니핑하는 기법이다. (동일 네트워크에 존재해야 함)
. 공격판단 방법 : 대상 호스트의 ARP cache table의 라우터(게이트웨이) MAC 주소가 실제 주소가 아닌 공격자의 주소로 변조된 것으로 보아 ARP Spoofing 공격을 당하고 있는 것으로 판단 가능!
- 대응방안 : 라우터(게이트웨이)의 MAC 주소를 아래와 같이 정적으로 구성
arp -s [평상시 라우터의 IP] [MAC 주소]
ARP Redirect
공격자가 자신이 라우터인 것처럼 MAC 주소를 위조한 ARP Reply 패킷을 해당 네트워크에 브로드캐스트하면 해당 네트워크에 연결된 모든 호스트의 ARP cache table에 라우터의 MAC 주소가 공격자의 MAC 주소로 변조된다. 이를 통해서 희생자로부터 외부 네트워크로 나가는 패킷을 공격자가 스니핑하는 기법이다.
ICMP Redirect
ICMP Redirect 메시지는 라우터에서 호스트 또는 라우터 간에 라우팅 경로를 재설정하기 위해 전송하는 메시지이다. 공격자는 이를 악용하여 특정 IP 또는 대역으로 나가는 패킷의 라우팅 경로를 자기 주소로 위조한 ICMP Redirect 메시지를 생성하여 희생자에게 전송함으로써 희생자의 라우팅 테이블에 공격자로 향하는 경로를 생성한다. 이를 통해서 특정 IP 또는 대역으로 나가는 패킷을 공격자가 스니핑하는 기법이다.
Switch의 Span/Monitor Port를 이용(포트 미러링 기능 이용)
원래 Monitor Port란 스위치를 통과하는 모든 트래픽을 볼 수 있는 포트로 네트워크 관리 목적이지만 공격자가 트래픽들을 스니핑하는 좋은 장소를 제공한다.
'정보보안기사 > 네트워크보안' 카테고리의 다른 글
[정보보안기사 필기] Well-Known Port, 잘 알려진 포트 - TCP/UDP Port (11) | 2023.12.12 |
---|---|
[정보보안기사] 전송계층 프로토콜 TCP와 UDP란? TCP 플래그, TCP Connect scan (11) | 2023.12.09 |
[정보보안기사] OSI 7계층, TCP/IP 4계층 (11) | 2023.12.08 |
댓글