[2022년도 국가공무원 9급][네트워크보안] 5번

 문5. 스위치 재밍(switch jamming)에 대한 설명으로 옳은 것은?

① 스위치 MAC 테이블의 저장 용량을 넘으면 더미 허브(dummy hub)처럼 브로드캐스트(broadcast) 한다.

② 방어대책은 게이트웨이 MAC 주소를 동적으로 설정한다.

③ 공격자는 클라이언트가 DNS 서버로 전송하는 DNS Query 패킷을 중간에 가로챈다. 

④ MAC flooding은 스위치에 이상이 있을 때 자동으로 모든 보안 기능을 차단하는 것이다.

[해설]

▣ 스위치 재밍

  - 스위치 MAC Address Table 의 버퍼를 오버플로우 시켜 스위치가 허브처럼 만드는 공격기법 (스위치의 Fail-Open 특성을 이용)

▣ 스위치 재밍 방어 방법

1. ARP Spoofing을 방어하기 위해서는 중요한 정보를 주고 받을 호스트의 ARP Cache Table 정보를 Static(정적)으로 구성(기본적으로 Dynamic(동적)으로 구성)

  arp -s [IP 주소] [MAC 주소] 

  예) arp -s 192.168.1.1 aa-bb-cc-dd-ee-ff

2. 암호화 및 보안 프로토콜 사용

  중요한 정보는 암호화하고, SSL, IPSec, PGP 등과 같은 보안 프로토콜을 사용

3. Anti-sniffer 도구 사용 (antisiff, senitel, ARP watch, Hunt)

  네트웍 카드(NIC)의 promiscuous모드(무차별 모드) 유무를 체크하여 스니퍼 사용 유무 체크하고, DNS test, ICMP time test, Ether ping test, UDP echo test 등 여러 테스트를 지원 

4. ARP / Ping(ICMP) 이용하여 스니핑 탐지

  목적지 MAC주소 값을 네트워크에 없는 값으로 ARP Request를 보냈을 때, ARP Reply를 보낼 수 없음에도 이를 보내는 호스트는 Promiscuous모드로 동작 중이므로 스니핑하고 있다고 볼 수 있음

  Ping을 이용하여 해당 네트워크에 없는 MAC주소로 ICMP echo request 메시지를 보냈을 때, ICMP echo reply를 보내는 호스트는 스니핑하고 있다고 볼 수 있음

▣ 다른 오답 해설

③ 공격자는 클라이언트가 DNS 서버로 전송하는 DNS Query 패킷을 중간에 가로챈다. 

=> DNS spoofing에 대한 내용

④ MAC flooding은 스위치에 이상이 있을 때 자동으로 모든 보안 기능을 차단하는 것이다.

=> MAC flooding은 MAC 테이블 내용을 스위치에서 강제로 빼내고 유니캐스트 플러딩 동작을 통해 잠재적으로 민감한 정보를 일반적으로 의도하지 않은 네트워크로 강제 전송