932. 스니핑 탐지 - ARP 핑(Ping) 테스트 네트워크 지연 감지 Promiscuous 모드 응답성 시간차 망 분석 진단 통제 통신 구조 확인 체제 도구 기초

핵심 인사이트 (3줄 요약)

  • 해커는 네트워크의 모든 패킷을 훔쳐보기 위해 랜카드 설정을 Promiscuous 모드(난잡 모드)로 변경하여 자신을 목적지로 하지 않는 패킷도 모두 수신합니다.
  • 스니핑을 탐지하기 위해 보안 관리자는 존재하지 않는 가짜 MAC 주소를 목적지로 하는 테스트 패킷(ARP Ping)을 네트워크에 발송합니다.
  • 일반 랜카드는 가짜 주소 패킷을 즉시 폐기하지만, Promiscuous 모드의 해커 랜카드는 이를 수신하고 응답(ARP Reply)하게 되어 스니핑 중임을 들키게 됩니다.

Ⅰ. 해커의 훔쳐보기 모드: Promiscuous Mode (난잡 모드)

  • 정상적인 랜카드(NIC)는 스위치에서 패킷이 날아오면, 패킷 겉면의 MAC 주소를 보고 "어? 내 주소 아니네? 버려!" 하고 가차 없이 무시(Drop)합니다.
  • 해커의 짓: 해커는 네트워크 스니핑(와이어샤크 등 툴 사용)을 하기 위해 자기 랜카드의 설정을 **Promiscuous 모드(난잡 모드, 남의 것도 다 주워 먹는 모드)**로 바꿉니다. 이제 내 IP가 아니더라도 사내망에 돌아다니는 모든 패킷을 다 집어삼켜 CPU로 올려보내 해킹 분석을 시작합니다.

📢 섹션 요약 비유: 복도에 있는 다른 사람의 우편물을 전부 자기 방으로 가져가서 뜯어보는 우편물 도둑질과 같습니다. 내 이름이 없어도 무조건 들고 가는 것이 Promiscuous 모드입니다.

Ⅱ. 스니핑 탐지의 원리: "도둑은 훔쳐보느라 바쁘고, 함정에 걸린다" 🌟

보안 관리자는 이 Promiscuous 모드의 허점(OS 커널 버그 등)과 도둑의 바쁜 상태를 역이용해 2가지 덫을 놓습니다.

1. ARP Ping (가짜 MAC 주소 함정 테스트) 🌟 핵심 🌟

가장 유명하고 널리 쓰이는 역탐지 스킬입니다.

  • 보안 관리자가 사내망 전체에 ARP Request (Ping) 패킷을 하나 뿌립니다. "192.168.1.10(해커 의심 IP) 가진 놈아 응답해!"
  • 함정(Trick): 패킷을 보낼 때, 도착지 MAC 주소(물리 주소)를 진짜 해커의 MAC이 아니라, 00:00:00:00:00:11 같은 완전 쓰레기 가짜 MAC 주소를 적어서 쏩니다.
  • 정상 컴퓨터의 반응: 가짜 MAC 주소를 보고 랜카드가 0.001초 만에 "내 거 아니네" 하고 버립니다(CPU까지 안 감). 응답이 안 옵니다.
  • 해커 컴퓨터(Promiscuous)의 반응: 랜카드가 "주소 무시하고 다 받아들여라!" 모드이기 때문에, 이 가짜 주소 패킷을 넙죽 주워 먹고 OS(운영체제)의 뇌까지 올려보냅니다. OS가 패킷을 까보고 "어? 내 IP(192.168.1.10) 부르는 거 맞네? 네 접니다!" 하고 **ARP 응답(Reply)**을 뱉어냅니다!
  • 결론: 쓰레기 주소를 적어 보냈는데도 응답이 돌아왔다? "요놈 잡았다! 너 지금 남의 패킷 다 주워 먹는 도둑놈 모드 켜놨지!" 라며 100% 색출됩니다.

2. 네트워크 지연 감지 (Ping Time차 분석)

  • 도둑놈은 남의 패킷 수백만 개를 모조리 CPU로 올려서 분석(해독)하느라 컴퓨터 연산량이 미친 듯이 바쁩니다.
  • 보안팀이 사내망 모든 컴퓨터에 대량의 핑(Ping)을 쏩니다. 정상 컴퓨터는 바로바로 응답(1ms)하는데, 특정 컴퓨터 하나만 "헥헥.. 잠시만.." 하면서 응답 지연(Latency)이 50ms로 비정상적으로 느려진다면, 그놈이 스니핑을 돌리느라 뇌(CPU)가 과부하 걸려 있다는 결정적 증거가 됩니다.
┌─────────────────┐             ┌─────────────────┐             ┌─────────────────┐
│                 │ ARP Request │                 │  Drop 패킷  │                 │
│ 보안 관리자 PC  ├────────────►│ 정상 사용자 PC  ├─ ─ ─ ─ ─ ─ ─┤ 무응답 (정상)   │
│                 │(가짜 MAC)   │ (Normal Mode)   │             │                 │
└─────────┬───────┘             └─────────────────┘             └─────────────────┘
          │
          │ 가짜 MAC이 포함된 ARP Request 전송
          ▼
┌─────────────────┐             ┌─────────────────┐             ┌─────────────────┐
│                 │ 패킷 수신   │ 해커의 OS 처리  │  ARP Reply  │                 │
│ 해커의 스니퍼PC ├────────────►│ (IP 확인 후     ├────────────►│ 스니핑 탐지됨!  │
│(Promiscuous 모드)               응답 메시지 생성) │             │ (보안 관리자)   │
└─────────────────┘             └─────────────────┘             └─────────────────┘

📢 섹션 요약 비유: 경비원이 가짜 이름표가 붙은 택배 상자를 복도에 던져 둡니다. 일반인은 자기 이름이 아니니 버려두지만, 남의 것을 다 주워가는 도둑은 상자를 가져가서 열어보고 "나한테 온 거 맞네!" 하고 서명을 해주는 바람에 함정에 빠집니다.

Ⅲ. 탐지 후 통제 모델망 구조 확인

  • 함정에 걸린 놈(IP/MAC)을 발견하면, 보안 관리자는 즉각 사내망 중앙 L2 스위치나 SDN 컨트롤러에 명령을 내려 그 해커가 꽂혀있는 스위치 포트(Port)를 **'Shut down(강제 폐쇄)'**시켜버립니다.
  • 사내 보안 솔루션(NAC, 네트워크 접근 제어)은 평소에 주기적으로 이 ARP 핑 함정을 돌려(백그라운드 스캔) 투명 인간(스니퍼)이 사내망에 서식하지 못하게 방역 체제를 구축합니다.

📢 섹션 요약 비유: 도둑이 함정에 걸려들면 경비원은 즉시 그 도둑이 사용하는 방의 출입구를 막아버리고(스위치 포트 차단), 앞으로도 가짜 택배를 주기적으로 뿌려 새로운 도둑이 있는지 계속 감시합니다.

👶 어린이를 위한 3줄 비유 설명

  • Promiscuous 모드: 반 친구들의 쪽지를 몰래 훔쳐보는 나쁜 행동이에요. 내 이름이 안 적힌 쪽지도 다 주워 읽어요.
  • ARP Ping 테스트: 선생님이 "없는 사람" 이름으로 쪽지를 던져서, 누가 남의 쪽지를 훔쳐보는지 확인하는 함정이에요.
  • 탐지 원리: "이거 내 이름 아니네?" 하고 버리는 착한 친구들과 달리, 나쁜 행동을 하는 친구는 덥석 쪽지를 잡았다가 선생님께 들키게 된답니다!