Wireshark 튜토리얼: 네트워크 및 비밀번호 스니퍼
컴퓨터는 네트워크를 사용하여 통신합니다. 이러한 네트워크는 LAN에 있거나 인터넷에 노출될 수 있습니다. 네트워크 스니퍼는 네트워크를 통해 전송되는 낮은 수준의 패키지 데이터를 캡처하는 프로그램입니다. 공격자는 이 정보를 분석하여 사용자 ID 및 비밀번호와 같은 귀중한 정보를 알아낼 수 있습니다.
이 기사에서는 네트워크 스니핑에 사용되는 일반적인 네트워크 스니핑 기술과 도구를 소개합니다. 또한 네트워크를 통해 전송되는 민감한 정보를 보호하기 위해 취할 수 있는 대책도 살펴보겠습니다.
네트워크 스니핑이란 무엇입니까?
컴퓨터는 IP 주소를 사용하여 네트워크에서 메시지를 브로드캐스트하여 통신합니다. 네트워크에서 메시지가 전송되면 일치하는 IP 주소를 가진 수신자 컴퓨터는 MAC 주소로 응답합니다.
네트워크 스니핑은 네트워크를 통해 전송된 데이터 패킷을 가로채는 프로세스입니다.이는 전문 소프트웨어 프로그램이나 하드웨어 장비를 통해 수행될 수 있습니다. 스니핑은 다음과 같은 용도로 사용될 수 있습니다.
- 로그인 자격 증명과 같은 민감한 데이터 캡처
- 채팅 메시지를 도청
- 캡처 파일이 네트워크를 통해 전송되었습니다.
스니핑에 취약한 프로토콜은 다음과 같습니다.
로그인 세부 정보가 일반 텍스트로 전송되는 경우 위 프로토콜은 취약합니다.
수동 및 능동 스니핑
수동 및 능동 스니핑을 살펴보기 전에 컴퓨터 네트워크에 사용되는 두 가지 주요 장치를 살펴보겠습니다. 허브와 스위치.
허브는 브로드캐스트를 보낸 포트를 제외한 모든 출력 포트에 브로드캐스트 메시지를 보내는 방식으로 작동합니다.. 수신자 컴퓨터는 IP 주소가 일치하면 브로드캐스트 메시지에 응답합니다. 즉, 허브를 사용할 때 네트워크의 모든 컴퓨터가 브로드캐스트 메시지를 볼 수 있습니다. 물리적 계층(계층 1)에서 작동합니다. OSI 모델.
아래 다이어그램은 허브의 작동 방식을 보여줍니다.
스위치는 다르게 작동합니다. IP/MAC 주소를 물리적 포트에 매핑합니다.. 브로드캐스트 메시지는 수신자 컴퓨터의 IP/MAC 주소 구성과 일치하는 물리적 포트로 전송됩니다. 즉, 브로드캐스트 메시지는 수신자 컴퓨터에서만 볼 수 있습니다. 스위치는 데이터 링크 계층(계층 2)과 네트워크 계층(계층 3)에서 작동합니다.
아래 다이어그램은 스위치 작동 방식을 보여줍니다.
수동 스니핑은 허브를 사용하는 네트워크를 통해 전송되는 패키지를 가로채는 것입니다.. 탐지하기 어렵기 때문에 수동적 스니핑이라고 합니다. 허브가 네트워크의 모든 컴퓨터에 브로드캐스트 메시지를 보내기 때문에 수행하기도 쉽습니다.
능동 스니핑은 스위치를 사용하는 네트워크를 통해 전송되는 패키지를 가로채는 것입니다.. 스위치 연결된 네트워크를 스니핑하는 데 사용되는 두 가지 주요 방법이 있습니다. ARP 중독및 MAC 플러딩.
해킹 활동: 네트워크 트래픽 스니핑
이 실제 시나리오에서 우리는 사용 Wireshark HTTP 프로토콜을 통해 전송되는 데이터 패킷을 스니핑합니다.. 이 예에서는 다음을 사용하여 네트워크를 스니핑합니다. Wireshark을 누른 다음 보안 통신을 사용하지 않는 웹 애플리케이션에 로그인하십시오. 우리는 웹 애플리케이션에 로그인할 것입니다. http://www.techpanda.org/
로그인 주소는 admin@google.com, 그리고 비밀번호는 비밀번호 2010.
참고 : 데모 목적으로만 웹 앱에 로그인하겠습니다. 이 기술은 또한 스니핑에 사용하는 컴퓨터와 동일한 네트워크에 있는 다른 컴퓨터의 데이터 패킷을 스니핑할 수도 있습니다. 스니핑은 techpanda.org에만 국한되지 않고 모든 HTTP 및 기타 프로토콜 데이터 패킷을 스니핑합니다.
다음을 사용하여 네트워크 스니핑 Wireshark
아래 그림은 혼란 없이 이 연습을 완료하기 위해 수행할 단계를 보여줍니다.
다운로드 Wireshark 이 링크에서 http://www.wireshark.org/download.html
- 엽니다 Wireshark
- 다음 화면이 나타납니다.
- 스니핑하려는 네트워크 인터페이스를 선택하십시오. 이 데모에서는 무선 네트워크 연결을 사용하고 있습니다. LAN을 사용하는 경우 LAN 인터페이스를 선택해야 합니다.
- 위 그림과 같이 시작 버튼을 클릭하세요
- 웹 브라우저를 열고 다음을 입력하세요. http://www.techpanda.org/
- 로그인 이메일은 admin@google.com 암호는입니다. 비밀번호 2010
- 제출 버튼을 클릭하십시오
- 성공적인 로그인은 다음과 같은 대시보드를 제공해야 합니다.
- 다시로 이동 Wireshark 라이브 캡처를 중지하세요.
- 필터 텍스트 상자를 사용하여 HTTP 프로토콜 결과만 필터링합니다.
- 정보 열을 찾아 HTTP 동사 POST가 포함된 항목을 찾아 클릭합니다.
- 로그 항목 바로 아래에는 캡처된 데이터 요약이 포함된 패널이 있습니다. Line-based text data: application/x-www-form-urlencoded라는 요약을 찾으세요.
- HTTP 프로토콜을 통해 서버에 제출된 모든 POST 변수의 일반 텍스트 값을 볼 수 있어야 합니다.
MAC 플러딩이란 무엇입니까?
MAC 플러딩은 가짜 MAC 주소로 스위치 MAC 테이블을 플러딩하는 네트워크 스니핑 기술입니다.. 이로 인해 스위치 메모리가 과부하되어 허브 역할을 하게 됩니다. 스위치가 손상되면 네트워크의 모든 컴퓨터에 브로드캐스트 메시지를 보냅니다. 이를 통해 네트워크에서 전송되는 데이터 패킷을 스니핑하는 것이 가능해집니다.
MAC Flooding에 대한 대책
- 일부 스위치에는 포트 보안 기능이 있습니다.. 이 기능을 사용하여 횟수를 제한할 수 있습니다. MAC 주소 항구에. 또한 스위치에서 제공하는 것 외에 보안 MAC 주소 테이블을 유지하는 데에도 사용할 수 있습니다.
- 인증, 권한 부여 및 회계 서버 검색된 MAC 주소를 필터링하는 데 사용할 수 있습니다.
스니핑 대책
- 네트워크 물리적 매체에 대한 제한 네트워크 스니퍼가 설치될 가능성이 크게 줄어듭니다.
- 메시지 암호화 네트워크를 통해 전송되기 때문에 해독하기 어렵기 때문에 가치가 크게 감소합니다.
- 네트워크를 Secure Shell로 변경(SSH)네트워크 또한 네트워크가 스니핑될 가능성도 줄어듭니다.
제품 개요
- 네트워크 스니핑은 네트워크를 통해 전송되는 패키지를 가로채는 것입니다.
- 수동 스니핑은 허브를 사용하는 네트워크에서 수행됩니다. 감지하기가 어렵습니다.
- 활성 스니핑은 스위치를 사용하는 네트워크에서 수행됩니다. 감지하기 쉽습니다.
- MAC 플러딩은 가짜 MAC 주소로 MAC 테이블 주소 목록을 플러딩하여 작동합니다. 이렇게 하면 스위치가 HUB처럼 작동합니다.
- 위에서 설명한 보안 조치는 스니핑으로부터 네트워크를 보호하는 데 도움이 될 수 있습니다.