근거리 네트워크 위협

근거리 네트워크 내부에서 일어날 수 있는 위협은 외부와 크게 다르지 않지만 OSI 7 Layer 에서 2 계층에 해당하는 Mac 주소 또는 프로토콜을 이용한 공격이 수행되는 것이 특징이다.

근거리 네트워크 공격 종류

• ARP를 이용한 MITM 공격
  • Man In The Middle의 약자로 중간자 공격이라 불림
  • 통신하는 두 단말 사이에 중간자가 침입하여 양단의 통신을 도청하거나 조작
  • 중간자 공격을 막기 위해 TLS/SSL 프로토콜을 이용한 공개 키 기반 인증을 사용
  • 2계층에서 주로 활용하는 공격으로 ARP 스푸핑을 연계한 공격이 존재
• STP(Spanning Tree Protocol) 공격
  • STP는 스위치 네트워크 환경에서 사용되는 프로토콜
  • 루핑(정상적인 연결을 수행하지 못하고 통신이 쳇바퀴처럼 도는 현상) 공격을 방지하는 프로토콜
  • STP를 이용하여 스위치의 연결 흐름을 제어하여 악의적인 목적의 스위치로의 연결을 전환 가능
• MAC 스푸핑 공격
  • 연결되어 있는 MAC 주소를 변조하는 공격
  • 특정 장치로 위장하거나 해당 장치의 서비스를 거부하는 공격으로 활용
• CAM(Content Addressable Memory) 테이블 오버플로우
  • Mac 주소 테이블은 스위치에서 연결되어 있는 장치로의 데이터 송수신을 위하여 Mac 주소별 특정 경로 선택을 위한 IP 또는 포트를 매칭하고 저장하고 있는 공간
  • 스위치 전원이 올라왔을 때 Mac 테이블을 임의로 과도하게 늘려 저장하도록 수행
  • 저장된 테이블 수가 다량이면 정상적인 연결이 새로 들어올 경우 이미 잡혀 있는 메모리의 한계가 존재하기 때문에 정상 연결이 불가하도록 하는 Dos 유형의 공격
• DHCP Starvation 공격
  • DHCP 서버에 Dos 공격을 수행하여 새로운 클라이언트가 IP를 자동으로 할당 받지 않도록 하는 공격
  • DHCP 서비스에서 과정 중 DISCOVER 단계의 패킷을 지속적으로 보내 DHCP 서비스를 이용한 IP 자동할당이 되지 않도록 함

 

ARP 스푸핑을 이용한 MITM 공격

• ARP 스푸핑이란?
  • 근거리 네트워크(LAN) 환경에서 중간자 공격에 사용되는 기술로 활용
  • IP에서 MAC 주소로 변환하는 과정에서 발생하는 ARP Reply 패킷을 변조하여 공격하는 방식
• ARP 스푸핑을 이용한 MITM 공격 원리
  • 두 단말 간의 통신 사이에서 정상 통신으로 속여 데이터가 공격자를 경유하도록 유도하는 기술
  • 두 단말 간은 정상적 통신을 하는 것으로 알고 있지만, 실제로는 공격자를 통해 패킷을 전달
  • 공격자는 두 단말 간의 통신 내용을 스니핑(Sniffing) 또는 스푸핑(Spoofing)하여 전달 가능
• ARP 스푸핑 공격 과정
  • 공격자는 B 사용자 PC에게 연결하고자 하는 A 사용자 IP에 자신의 MAC 주소를 포함하는 ARP reply 패킷을 지속적으로 보냄
  • B 사용자 PC는 해당하는 IP를 자신의 ARP 테이블 내 공격자의 MAC 주소로 기억
  • 서로 연결하고자 하는 사용자 A,B PC들은 공격자의 MAC 주소로 통신, 즉 공격자를 통해 서로 연결
  • 각 사용자 A,B PC는 정상 연결로 인지하므로 공격자가 어떤 행위를 하던 정상 패킷으로 간주
• ARP 스푸핑을 이용한 위협들
  • Sniff 기능
    • 도청, 감청 등과 같이 서로 간의 통신을 살펴 볼 수 있음
  • 스푸핑 기능
    • 중간자 공격으로 서로 간의 Packet을 원하는 것으로 수정하여 서로에게 전달할 수 있다.