ed:0 overruns:0 frame:0TX packets:40 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:0
4. 네트워크 관리
앞서 설명바와 같이 스니퍼를 탐지할 수 있는 많은 방법이 존재하며 또한 이를 구현한 공개용 도구가 있다. 네트워크 관리자는 이러한 도구를 이용하여 주기적으로 스니퍼의 설치 여부를 감시함으로서 외부로부터의 공격자를 포함하여 악의의 내부 사용자를 탐지할 수 있다. 다음은 앞서 설명한 공격을 탐지하는데 사용할 수 있는 공개용 도구에 대하여 설명한다.
1) ARPwatch
ARP 트래픽을 모니터링하여 MAC/IP 매칭을 감시하는 프로그램으로 초기에 설정된 ARP 엔트리(ethernet/ip addr)가 변하게 되면 이를 탐지하여 관리자에게 메일로 통보해 주는 도구이다. 대부분의 공격기법이 위조된 ARP를 사용하기 때문에 이를 쉽게 탐지할 수 있다. 다음은 "arpwatch -d"를 실행하여 초기 ethernet/ip 쌍에 대한 데이터베이스를 만든 것이다. 이후 "arpwatch"를 실행하게 되면 추가되거나 변경되는 ethernet/ip 쌍에 대하여 메일을 통하여 경고를 주게된다. 관리자는 메일을 통하여 ARP를 이용한 공격을 탐지하고 대응할 수 있다.
0:x:x:a3:x:6a
0:x:x:c4:x:3e
8:x:x:79:x:ea
0:x:x:c4:x:3e
0:x:x:28:x:47
8:x:x:b7:x:72
...
172.x.x.1
172.x.x.1
172.x.x.71
172.x.x.80
172.x.x.82
172.x.x.45
...
963475326
963473482
963465559
963474080
963469967
963475326
...
ARPwatch 다운로드 사이트 : ftp://ftp.ee.lbl.gov/
2) Sentinel
Sentinel은 앞서 설명한 스니퍼를 탐지하는 방법을 구현한 도구이다. 4가지 방법으로 스니퍼를 탐지할 수 있는데 이중 "ICMP Ping Latency test(-i 옵션)"는 아직 구현되지 않았다. 네트워크 관리자는 내부 네트워크의 모든 호스트에 대하여 이와 같은 도구를 사용하여 주기적으로 스니퍼가 설치되어 있는지 점검해 보아야 한다. 그리고 스니퍼가 설치된 것으로 의심이 가는 호스트는 철저한 분석를 수행하고 만약 침입을 당하였을 경우에는 복구를 하도록 하여야 한다. 시스템 분석 및 복구에 대해서는 다른 기술문서에서 다루도록 한다.
Methods:
[ -a ARP test ][ -d DNS test ] (requires -f (non-existent host) option[ -i ICMP Ping Latency test ][ -e ICMP Etherping test ]
다음은 sentinel을 이용하여 스니퍼를 탐지하는 예이다.
# ./sentinel -t 192.168.1.2 -a ; arp test against 192.168.1.2# ./sentinel -t 192.168.1.2 -e ; etherping test against 192.168.1.2# ./sentinel -t 192.168.1.2 -f 1.1.1.1 -d ; dns test against 192.168.1.2# ./sentinel -t 192.168.1.2 -f 1.1.1.1 -d -a -e ; all of promisc detection tests against 192.168.1.2 arp.dat 파일("arpwatch -d"로 모니터링한 결과) <표 5> Switch Table을 Static으로 설정