Active Sniffing

 

Active Sniffing 전제조건
1.Broadcast domain
2.Promiscuous Mode
3.MITM
 
공격당하고 있는지 확인
1.arp 캐시 테이블을 확인 하면 다른 IP에 동일한 나의 MAC주소와 동일한 MAC주소가 있다면 공격당하고 있다는 것을 확인 할 수 있음

2.traceroute 중간에 거쳐가는 경로가 있다면 스니핑 당하고 있다는 걸 알 수 있음

3.icmp redirect

경로가 잘 못 되었다는 것을 알려주기위해 사용하는 것
라우터,운영체제에서 icmp redirect를 받아 들이지 않는다.
redirect패킷이 보인다는 것은 트래픽의 흐름에 문제가 있다는 것.


  4.TTL이 1이 줄었다.

5.없는 IP로 날렸을 때 응답이 올 수도 있다.
 
방어방법
1.캐시테이블을 정적으로 설정(다이나믹 < 스태틱)
2.정상적인 reply를 계속 보낸다.(BT를 착하게 사용한다)
3.switch에서 포트시큐리티 활성화
/*
스위치 학습기능을 이용, 인터페이스에 연결되어있는 MAC을 고정시킨다.
ststic 포트시큐리티는 절대 못뚫는다.
dynamic 포트시큐리티는 공격의 여지가 있다.
*/