I. 스니핑이란? 

스니퍼(sniffer)는 원래 Network Associate사의 등록상표였으나 현재는 PC나 kleenex처럼 
일반적인 용어로 사용되고 있다. "sniff"라는 단어의 의미(냄새를 맡다, 코를 킁킁거리다)에서도
알 수 있듯이 스니퍼는 "컴퓨터 네트워크상에 흘러다니는 트래픽을 엿듣는 도청장치"라고 
말할 수 있다. 그리고 "스니핑"이란 이러한 스니퍼를 이용하여 네트워크상의 데이터를 
도청하는 행위를 말한다. 

이러한 스니핑 공격은 웹호스팅, 인터넷데이터센터(IDC) 등과 같이 여러 업체가 같은 
네트워크를 공유하는 환경에서는 매우 위협적인 공격이 될 수 있다. 하나의 시스템이 
공격 당하게 되면 그 시스템을 이용하여 네트워크를 도청하게되고, 다른 시스템의 
User ID/Passwd를 알아내게 된다. 비록 스위칭 환경의 네트워크를 구축하여 스니핑을 
어렵게 할 수는 있지만 이를 우회할 수 있는 많은 공격방법이 존재한다. 

본 문서는 스위칭 환경에서의 스니핑 공격 기법과 그리고 이에 대한 대책을 설명한다. 

II. 스니핑의 원리 

LAN 상에서 개별 호스트를 구별하기 위한 방법으로 이더넷 인터페이스는 MAC(Media Access 
Control) 주소를 갖게 되며, 모든 이더넷 인터페이스의 MAC 주소는 서로 다른 값을 갖는다. 
따라서 로컬 네트워크상에서 각 각의 호스트는 유일하게 구별될 수 있다. 

다음은 이더넷(ethernet) 프레임의 포맷을 나타낸다. 


destination MAC addr source MAC addr type data CRC 
6 byte 6 byte 2 46-1500 byte 4 
↘ 이더넷의 포맷(RFC 894) 

그리고 위의 이더넷 포맷은 type에 따라 다음과 같은 3가지 포맷으로 구성된다. 
type IP datagram 
0800 46-1500 

type ARP request/reply PAD 
0806 28 18 

type RARP request/reply PAD 
8035 28 18 


이더넷은 로컬 네트워크내의 모든 호스트가 같은 선(wire)을 공유하도록 되어 있다. 
따라서 같은 네트워크내의 컴퓨터는 다른 컴퓨터가 통신하는 모든 트래픽을 볼 수 있다. 
하지만 이더넷을 지나는 모든 트래픽을 받아들이면 관계없는 트래픽까지 처리해야 하므로 
효율적이지 못하고 네트워크의 성능도 저하될 수 있다. 그래서 이더넷 인터페이스(LAN 카드)는 
자신의 MAC address를 갖지 않는 트래픽을 무시하는 필터링 기능을 가지고 있다. 
이 필터링 기능은 자신의 MAC address를 가진 트래픽만을 보도록 한다. 

또한 이더넷 인터페이스에서 모든 트래픽을 볼 수 있도록 하는 기능을 설정할 수도 있는데 
이를 "promiscuous mode"라 한다. 스니퍼는 이더넷 인터페이스를 이러한 "promiscuous mode"로 
설정하여 로컬 네트워크를 지나는 모든 트래픽을 도청할 수 있게 된다. 

- From : CERTCC-KR (http://www.certcc.or.kr) -