#4 Web Hacking (sniffing)

 

이번에는 패킷을 몰래 훔쳐보는 스니핑 방법에 대해 시도해보자.

먼저 스니핑에 대해 적기전에 스니핑의 정의와 스푸핑, 스누핑에 대한 차이를 알아야한다.

 

먼저 스니핑은 개가 킁킁되는 그런 행위를 의미한다.
개들은 코로 킁킁되며 정보를 받아오며 이것이 무엇인지 공격대상인지 등을 파악한다.

해커도 해킹하기전에도 공격자는 해당 서버의 정보를 얻어오기위해 스캐닝을 하며 공격 대상인지 그리고
공격을 한다면 어떤 방식으로 할지 찾아야하는데 스캐닝 과정에 한가지 방법이 스니핑 방법이다.

 

일단 그전에 sniffing(스니핑), snooping(스누핑), spoofing에 대해 이해가 필요하다.

 

먼저 스니핑과 스누핑 모두 염탐하는 스캐닝 행위이다. (둘의 의미는 거의 같다라고 볼 수 있다.)

이때 스캐닝을 통해 패킷을 훔쳐 보며 패킷의 내용, 주소, 사용되는 프로토콜 등을 확인할 수 있는데

이 중에 스니핑은 몰래 염탐하는 행위로서의 성격이 강해 스푸핑과 달리 불법적 성격을 갖는다.

   -> 즉 스니핑은 불법, 스누핑은 합법적으로 생각할 수 있다.(그나마 나누어 설명하자면)

                                  -> 출처: 정보통신 기술용어 해설(KT Words)

그에 반해 스누핑은 위장이라는 의미이다.

만약 내(A)가 상대방 컴퓨터에게 다른 ID(B)를 내며 "나는 A가 아니라 B야" 라는 방식으로 행동하는 것을 스누핑이라 한다.

이는 스니핑 혹은 스누핑으로 충분한 정보를 획득하고 이를 이용하여 사용하는 해킹 기법이다.

 

그러면 스니핑을 해보겠다. 스니핑을 할때는 여러가지 툴을 사용하여 정보를 수집하는데 가장 많이 사용하는 방법은 와이어 샤크 툴을 이용한 방식이다.

 

먼저 와이어샤크를 실행한 후 http 혹은 ip를 알고있다면 그에 대한 필터링을 하자.

필터링 방법 - 프로토콜도 사용할 수 있다.

이제 내용을 본다. 

워낙 많은 패킷들이 주고 받기때문에 필요한 부분의 필터링도 필수이지만

info 부분을 읽으며 어느 부분에서 내용이 주고갈지 확인해볼줄 알아야한다.

웹사이트는 member를 통해 왔다 갔다 하는것을 확인 할 수 있기에 위와같이 찾을 수 있다.

 

이제 이 부분을 클릭해보면 아래 칸에 많은 정보들을 확인할 수 있다.

먼저 정보를 주고 받는 방식은 GET으로 되어있고 어떤 내용이 주고 받았는지 확인할 수 있다.

일단 아래 내용을보면 http 프로토콜을 사용하면서 member/ok_asp를 jcpark의 체크를 통해 가져오는 것을 확인할 수 있다.

이때 id는 jcpark라는 것을 확인할 수 있다. 

 

이중 http - Follow 메뉴로 간다면 아래와 같이 더욱 세부적 정보를 얻을 수 있다.

먼저 쿠키값도 확인할 수 있고 호스트 아이피(홈페이지 아이피), 유저 아이디와 비밀번호, 서버 OS 체제까지 확인할 수 있다. 즉 많은 정보들이 패킷을 타고 다니고 스니핑을 통해 얻을 수 있다.