"스니퍼"의 두 판 사이의 차이

2021년 8월 24일 (화) 11:12 판

스니퍼(sniffer)란 네트워크 트래픽를 감시하고 분석하는 프로그램으로, 트래픽 데이터를 분석하여 네트워크를 최적화하고 패킷에 잠입하여 정보를 가로채는 대표적인 크래킹 기술을 의미하거나 데이터베이스 분석 프로그램을 뜻한다.^[1]

개요

스니퍼는 스니핑(Snipping)에서 나온 말이다. 사전적 뜻으로는 "냄새를 맡다"이며 이러한 행위를 하는 도구를 스니퍼라고 하며 이것은 네트워크에서 병목현상 등과 같은 문제점을 발견해 내는 프로그램으로 트래픽의 동향을 효율적으로 이용하게 해주는 기술이다. 랜포트에 접속시키면 랜에 올려져 있는 거의 모든 트래픽 데이터를 분석할 수 있다. 이더넷·토큰링·FDDI·WAN·ATM 버전이 모듈화되어 있으며, 원격지 트래픽를 분석할 수 있는 것으로 DSS(Distributed Sniffer System) 가 있다. 운영체제에 따라 마스터 1대 또는 여러 대의 전용 서버로 구성되기도 한다. 또한 가장 많이 이용되는 크래킹 기술을 표현하기도 하며 네트워크로 전송되는 패킷들은 어떤 사용자가 어느 호스트에 로그인했다는 등 다양한 정보를 가지고 있어서 여기에 잠입하여 발신지와 수신지 주소는 물론 패킷의 데이터까지 알아낼 수 있기도 하며 한편 데이터베이스에 어떤 데이터가 중복되고 있는지를 분석하는 데이터분석 프로그램을 의미하기도 하는 내용이다.^[1]

도구

스니퍼 도구 종류는 여려가지가 있지만 그중 대표적인 도구는 와이어샤크(Wireshark), 탑덤프(tcpdump) 등의 도구가 있다.^[2]

와이어샤크

와이어샤크(Wireshark)는 자유 및 오픈 소스 패킷 분석 프로그램이며, 네트워크의 문제, 분석, 소프트웨어 및 통신 프로토콜 개발, 교육에 쓰이는 것이며, 원래 이름은 Ethereal이었으나 2006년 5월에 상표 문제로 말미암아 와이어샤크로 이름을 바꾸었으며, 와이어샤크는 크로스 플랫폼으로, Qt 위젯 툴킷 을 이용하여 사용자 인터페이스를 제공하며, pcap을 이용하여 패킷을 포획하고 리눅스, 맥 OS X, BSD, 솔라리스 를 포함한 다양한 유닉스 계열 운영 체제와 마이크로소프트 윈도우에서 동작하고 GUI다 없는 터미널 기반 버전인 티샤크(TShark)도 제공하고 와이어샤크는 또 티샤크와 같은 프로그램과 함께 배포되는 여러 프로그램은 자유 소프트웨어로, GNU 일반 공중 사용 허가서의 조건으로 공개된다.^[3]

기본 작동 개념

같은 네트워크 구간의 노엘(Noel)과 수잔(Susan)은 이메일이나 메신저 등을 통해 대화를 주고받으면서 여기에서 와이어샤크를 사용하는 제3자는 이 둘 사이의 네트워크로 돌아다니는 패킷( 네트워크상의 데이터 )을 수신하여 저장하는데 이때, PCAP이라는 파일 포맷으로 저장되고, PCAP 은 패킷 켑처(Packet Capture)의 약자로 네트워크 트래픽을 캡처하는 API 구성으로 와이어샤크(Wireshark)는 자체 프로그램으로 네트워크 트래픽을 캡처하는 것이 아니고, 운영체제에서 지원하는 캡처 라이브러리를 이용하여 수집하는 것이다. (아래는 참고하는 버전)

유닉스 : 리비캡(libpcap)
윈도우 : 윈피캡(WinPcap)^[4]

매뉴얼

와이어샤크(WireShark)의 기능 중 절반은 필터(Filter)가 차지하며 필터란 네모 박스 안에서 수많은 패킷들 중 특정 패킷을 '걸러내는' 작업을 의한다. 예시로 수많은 패킷 중 특정 ip 주소의 것을 걸러낸다.(ip. addr == "12.12.12.12") 다음은 필터 사용법 : 설명 순으로 보여주는 것이다.

eth.addr / eth.src / eth.dst : 맥 주소 / 맥 주소 송신지/ 맥 주소 수신지
ip.addr / ip.src / ip.dst : ip 주소 / ip 주소 송신지 / ip 주소 수신지
[protocol].port : 해당 프로토콜의 포트 확인 가능 tcp.port, udp.port
[protocol].srcport / [protocol].dstport : 해당 프로토콜의 송,수신지 포트로 확인

다음은 문법 설명이다.

&&, AND : AND 기호와 같다.
||, OR : OR 기호와 같다.
!=, NOT : NOT 기호와 같다
/ : ip.addr == 192.168.200.16/16→ 192.168.x.x 에 해당되는 IP 주소만 검색, 8 == 192.x.x.x, 16 == 192.168.x.x, 24 == 192.168.200.x, 32 == 192.168.200.16^[5]

특징

와이어샤크는 각기 다른 네트워크 프로토콜의 구조를 이해하는 소프트웨어이며 그러므로 각기 다른 네트워크 프로토콜이 규정한 각기 다른 패킷의 의미와 더불어 필드와 요약 정보를 보여줄 수 있으며 와이어샤크는 pcap을 이용하여 캡처를 포획하므로 pcap이 지원하는 종류의 네트워크의 패킷만 포획할 수 있는 기능이다.

실시간 네트워크 연결의 유선으로부터 데이터를 포획하고, 이미 포획한 패킷을 기록해둔 파일로부터 데이터를 읽을 수 있는 것이다.
실시간 데이터를 이더넷, IEEE 802.11, PPP, 루프백을 포함한 수많은 네트워크로부터 읽을 수 있는 것이다.
포획한 네트워크 데이터 : GUI나 터미널 (명령 줄) 버전의 유틸리티 TShark를 통해 탐색가능한 기능이다.
포획한 파일들은 에디텝(editcap) 프로그램으로의 명령 줄 스위치를 통하여 프로그래밍하듯이 편집하거나 변환하는 기능이다.
데이터 표현은 디스플레이 필터를 이용한 기능이 있다.
새로운 프로토콜 분석을 위해 플러그인을 만들 수 있는 것이다.
포획한 트래픽 내의 VoIP 호출을 감지할 수 있으며 호환되는 인코딩으로 부호화되면 미디어 플로도 재생이 가능하다.
와이어샤크를 통해 순수 USB 트래픽을 포획할 수 있으며 이 기능은 현재 리눅스에서만 이용할 수 있는 기능이다.

와이어샤크의 순수 네트워크 추적 파일 포맷은 리비캡 및 윈피캡이 지원하는 리비캡 형식으로 되어 있으므로 탑덤프와 CA 넷마스터를 포함하여 동일한 포맷을 이용하는 다른 응용 프로그램들과 네트워크 추적 파일을 상호 이용할 수 있다. 또, 스눕(snoop), 네트워크 제너럴의 스니퍼, 마이크로소프트 네트워크 모니터와 같은 다른 네트워크 가로채기 프로그램으로부터 포획한 데이터를 읽을 수 있는 기능이다.^[3]

탑덤프

탑덤프(tcpdump)는 명령한 줄에서 실행하는 일반적인 패킷 가로채기 소프트웨어이다. 사용자가 TCP/IP뿐 아니라, 컴퓨터에 부착된 네트워크를 통해 송수신되는 기타 패킷을 가로채고 표시할 수 있게 도와준다. BSD 허가서를 통해 배포되는[2] tcpdump는 자유 소프트웨어이다. 탑덤프는 리눅스, 솔라리스, BSD, 맥 OS X, HP-UX, AIX 따위의 대부분의 유닉스 계열 운영 체제에서 동작하며 여기서 libpcap 라이브러리를 사용하여 패킷을 포획한다. 윈도우용 탑덤프 이식판으로는 윈덤프(WinDump)가 있으며, 이는 리비캡의 윈도 이식 판인 윈피캡을 이용한다.^[6]

명령

탑덤프 명령은 네트워크 인터페이스에서 부울 표현식 과 대응하는 패킷의 헤더를 인쇄하고 이 명령을 -w 플래그와 함께 실행하여 추가 분석을 위해 패킷 데이터를 파일에 저장할 수 있다, 또한 이 명령을 -r 플래그와 함께 사용하여 네트워크 인터페이스에서 패킷을 읽는 대신 저장된 패킷 파일에서 데이터를 읽을 수 있는 장점이 있다, 모든 경우에 표현 식과 일치하는 패킷만 탑덤프 명령에 따라 처리된다. 이 명령이 -c와 함께 실행되지 않으면 탑덤프는 시긴트(SIGINT) 신호(일반적으로 Ctrl-C) 또는 시긴텀(SIGTERM) 신호(일반적으로 kill(1) 명령)로 인터럽트 될 때까지 패킷 캡처를 계속하게 된다, 탑덤프는 -c 플래그와 함께 실행되는 경우 시긴트 또는 시긴텀 신호에 의해 인터럽트되 거나 지정된 패킷 수가 처리 완료될 때까지 패킷을 캡처해 놓는다. 탑덤프 명령은 모든 패킷을 캡처한 후에 다음 개수를 돌려보내는 기능이다.

필터에 의해 수신된 패킷 : 패킷이 필터 표현 식과 일치되는지 여부에 상관없이 모든 패킷을 계수하는 것이다.
커널에 의해 삭제된 패킷 : 버퍼 공간의 부족으로 인해 삭제된 패킷의 수를 나타내는 것이다.^[7]

가용 기본요소

많은 요소들이 있지만 대표적인 예시로 보여주는 것이다.

dst host host : 패킷의 IPv4/v6 대상이 주소 또는 이름일 수 있는 호스트인 경우 참이다.
src host host : 패킷의 IPv4/v6 소스 필드가 호스트인 경우 참이다.
host host : IPv4/v6 소스 또는 패킷의 대상이 호스트인 경우 참이다. 위의 모든 호스트 표현식 앞에는 키워드 ip, arp, rarp 또는 ip6를 덧붙일 수 있는 것이다.(예시 : ether proto \ip and host host)
ether dst ehost : 이더넷 대상 주소가 ehost인 경우 참이며, Ehost는 /etc/ethers에서 생성된 이름이거나 숫자일수도 있는 명령이다.
ether src ehost : 이더넷 소스 주소가 ehost인 경우 참이다.
ether host ehost : 이더넷 소스 또는 대상 주소가 ehost인 경우 참이다.
gateway host : 패킷이 호스트를 게이트웨이로 사용한 경우 참이다(예시 : 이더넷 소스 또는 대상 주소가 호스트지만 IP 소스 또는 IP 대상이 둘 다 호스트가 아닙니다. 호스트는 이름이어야 하고 머신의 host-name-to-IP-address 분석 메커니즘(호스트 이름 파일, DNS, NIC 등) 및 머신의 host-name-to-Ethernet-address 분석 메커니즘(/etc/ethers 등) 모두에 의해 찾을 수 있어야 한다.)
dst net net : 패킷의 IPv4/v6 대상 주소에 네트의 네트워크 번호가 있는 경우 참이다.
src net net : 패킷의 IPv4/v6 소스 주소에 네트의 네트워크 번호가 있는 경우 참이다.
net net : 패킷의 IPv4/v6 소스 또는 대상 주소에 네트의 네트워크 번호가 있는 경우 참이다.
net net mask netmask : IP 주소가 고유의 넷마스크를 포함하는 네트와 일치하는 경우 참이다.(src 또는 dst로 규정될 수 있으며 IPv6 net에서는 유효하지는 않는다.)
net net/len : IPv4/v6 주소가 넷마스크 len 비트인 네트와 일치하는 경우 참이다.(scr 또는 dst로 규정되기도 한다.)
dst port port : 패킷이 ip/tcp, ip/udp, ip6/tcp orip6/udp이고 포트의 대상 포트 값을 포함할 경우 참이다, 이 포트는 숫자이거나 /etc/services에서 사용되는 이름(tcp(4P) 및 udp(4P) 참조)이름을 사용 시 포트 번호 및 프로토콜을 모두 검사하지만 숫자 또는 모호한 이름을 사용하는 경우에는 포트 번호만 검사한다.
src port port : 패킷이 포트의 소스 포트 값을 가지는 경우 참이다.^[7]

매개변수

A : 패킷의 내용을 화면에 ASCII로 보여주는 것이다.
B : 운영 체제가 캡처하는 버퍼 크기를 buffer_size로 바꾸어 주는 것이다.
c : 주어진 수의 패킷을 받은 후 종료하는 기능이다.
C : 방금 받은 패킷을 저장파일로 만들기 전에 파일이 파일 사이즈(file_size)보다 큰지 체크한다. 만약 그렇다면, 현재 저장파일을 닫고 새로 하나를 연다. 저장된 파일의 이름은 -w 기호를 이용해 1부터 시작해 하나씩 늘어나는 기능이다.(1,048,576 바이트가 아니라 1,000,000바이트이다)
d : 컴파일된 패킷 매칭 코드(packet-matching code)를 사람이 읽을 수 있는 표준형으로 바꾼후 멈추는 기능이다.
dd : packet-matching 코드를 C 프로그램의 일부로 표현하는 기능이다.
ddd : packet-matching 코드를 십진수로 표현해주는 것이다.
D : 탑덤프가 패킷을 잡을 수 있는 시스템 상에 가능한 네트워크 인터페이스 목록을 출력한다. 각각의 네트워크 인터페이스에는 번호와 인터페이스 이름이 매겨져 있어야 하고 그에 해당하는 설명이 덧붙여져 있어야 한다. 이 기능은 탑덤프가 오래된 버전일 경우에 지원되지 않을 수 있는 것이다.
e : 링크 레벨 헤더를 각각 덤프라인에 출력하는 기능이다.
f : 외부 IPv4 주소를 되도록 심볼(상징적)이 아닌 숫자로서 표현하는 방식이다.
F : 파일을 필터식(filter expression)으로 입력한다. 추가적으로 명령창에 입력된 식은 무시되는 것이다.
G : 이 옵션을 지정하면 덤프 파일을 -w 옵션으로 매 초마다 회전해 회전된 덤프파일을 저장한 다음 저장된 파일은 -w 옵션으로 스트리프타임(strftime)으로 시간 정보가 정의 되어 이름에 포함되어야 하므로 만약 시간 형식이 저장되지 않으면 매번 새로운 파일은 원래 있던 파일에 덮어 씌워 지며 만약 -C 옵션과 함께 쓰인다면 이름은 'file<count>'형식으로 저장되는 것이다.
i : 인터페이스를 정하는데 정해지지 않았으면 탑덤프는 시스템 인터페이스 목록에서 가장 낮은 숫자를 고르는 것이다.
I : 인터페이스를 모니터 모드(monitor mode)로 놓아둔다 이는 IEEE 802.11 와이파이 인터페이스에서만 작동되고 몇몇 운영 체제에서만 지원되는 기능이다.
위의 설명에 대한 예시 : tcpdump [ -AdDefIKlLnNOpqRStuUvxX ][ -B buffer_size ][ -c count ][ -C file_size ][ -G rotate_seconds ][ -F file ][ -i interface ][ -m module ][ -M secret ][ -r file ][ -s snaplen ][ -T type ][ -w file ][ -W filecount ][ -E spi@ipaddr algo:secret,... ][ -y datalinktype ][ -z postrotate-command ][ -Z user ]

^[7]

탐지

스니퍼에 대응하는 방법은 여러 가지가 있지만, 이 중 5가지를 소개하는 내용이다.^[8]

Ping

대부분의 스니퍼는 일반TCP/IP 에서 동작하며 이를 이용하여 의심이 가는 호스트에 핑(ping)을 보내는데 존재하지 않는 맥주소(MAC Address)로 위장해서 보내주며, 핑은 ICMP 프로토콜에서 해당 호스트까지 reachable한지를 검사하는 신호로, 정상적인 경우라면 MAC 주소가 유효하지 않음으로 응답이 오지 않는 것이 맞는 거다, 하지만 스니핑용 호스트라면 MAC 주소와 무관하게 모든 정보를 다 수신받음으로 ICMP 에서 정상적으로 도달했다(reach)는 뜻의 Echo reply 를 보내게 되는 내용이다.^[8]

ARP

Ping과 마찬가지로, 기본적으로 TCP/IP에선 자신을 거쳐 가더라도 목적지가 자신이 아니라면 수신하지 않는 것이 일반적이지만 랜 카드를 조작하여 목적지가 어디든 그냥 무조건 수신하도록 옵션을 줄 수도 있으며 이 옵션을 프러미스큐어스 모드라고 하며, 이런 랜카드를 사용하는 호스트 를 찾기 위해 그 어느 호스트도 목적지가 아닌 조작된 ARP request를 보냈는데 응답이 온다면 프러미스큐어스 모드를 사용하고 있는 것이다.^[8]

DNS

DNS 서버에는 도메인 이름을 이용해서 호스트의 lP를 얻기 위한 DNS lookup 요청이 많지만, 반대로 호스트의 IP를 이용해서 도메인은 알고자 하는 DNS inverse lookup 요청은 많지는 않은데 스니핑 프로그램에선 사용자의 편의를 위해 inverse lookup을 요청하는 경우가 많기 때문에 로그 등에 도메인명을 출력해줘야 보기가 편해서 inverse lookup을 한다고 다 악성 프로그램은 아니나 이를 통해 용의 선상을 줄일 수 있어서 테스트 대상 네트워크로 ping sweep을 보내고 inverse lookup을 감시하여 스니퍼를 탐지하는 내용이다.^[8]

유인

유인(Decoy) 스니핑(스니퍼를 이용 한) 공격자의 주요 목적은 계정과 패스워드 획득에 목표를 두며 이를 이용해 가짜 계정과 패스워드를 네트워크에 뿌린 후 이 계정과 패스워드를 이용해 접속을 시도하는 호스트를 탐지하는 방법이다.^[8]

ARP watch

스니퍼는 정보가 자신에게 수신되거나 거쳐 가도록 조작하기 위해 ARP 테이블을 변경하려 할 수 있으며 ARP 업데이트가 항상 비정상적인 행위는 아니지만, 초기 MAC 주소와 IP 주소의 대칭 값은 저장한 후 ARP 트래픽을 모니터링하여 이를 변하게 하는 이상 패킷이 발견되면 관리자에게 알려줌으로써 스니핑(스니퍼)을 미연에 감지할 수 있다는 방법이다.^[8]

패킷

네트워크 패킷 스니퍼는 네트워크를 통해 전송된 정보를 모니터링하는 데 사용되며 스니퍼의 유형과 전반적인 목적에 따라 하드웨어 또는 소프트웨어일 수 있다는 것이다, 네트워크 패킷 스니퍼는 네트워크 데이터 스트림에서 패킷을 수집하고 디코딩하여 정보를 읽어내고 스니퍼는 네트워크 문제 해결에서 비밀번호 및 민감한 정보 도용에 이르기까지 광범위한 합법적이고 불법적인 기능에 사용되는 것이다, 일부 네트워크 패킷 스니퍼는 네트워크의 활동을 모니터하기 위해 이를 수행하며 이 스니퍼는 일반적으로 시스템 관리자가 네트워크의 문제를 확인하거나 사용자의 활동을 모니터링하기 위해 사용하는 기기이며 대부분의 경우 패킷을 열고 내부를 볼 필요가 없다. 일반적으로 주소를 확인하고 둘 다 허용 가능한지 확인하는 것으로 충분하지만 패킷이 금지된 웹 사이트와 같은 제한된 컴퓨터로 들어오거나 나가는 경우 네트워크 위치를 기록하고 누가 사용했는지 확인할 수 있는 기능이다. 패킷을 열고 내부의 데이터를 디코딩하는 것도 가능하며, 데이터 패킷의 인코딩 유형에 따라 시간이 오래 걸리는 프로세스일 수 있는 것이며 충분한 시간과 노력으로 종종 내부 데이터를 검색 할 수 있는 기능이며 새로운 네트워킹 소프트웨어 디버깅과 같은 합법적인 이유로 이 작업을 수행 할 수 있지만, 이 유형의 패킷 분석기는 해킹 및 신원 도용에도 여러 가지 용도가 있는 것이다. 패킷 분석기는 디지털 도둑을 위한 일반적인 도구이며, 해커들은 패킷을 가로채서 해독함으로써 몇 가지를 배울 수 있으며 가장 일반적인 정보 비트 중 하나는 알려진 시스템보다 보안 수준이 낮은 내부 네트워크 시스템의 주소와 관련이 있는 거고 또한 올바른 패킷을 도난당하면 로그인 정보와 이메일 주소를 얻을 수 있는 제품이다.^[9]

사건

첫번째 기사는 미국 역사상 최대의 해킹 범죄가 적발된 사건으로, 미 법무부는 반스앤 노블, BTJX, 오피스맥스 등 9개 유통회사의 무선 네트워크에 불법 침입해 4,000만 건 이상의 신용카드 번호와 비밀번호를 빼낸 혐의로 11명의 용의자를 기소했다고 5일(현지 시간) 밝혀졌으며 이는 미국에서 일어난 해킹 사건으로는 최대 규모이며, 용의자들은 기업들의 무선통신망에 침입해 ‘스니퍼’ 프로그램을 설치, 신용카드 번호와 비밀번호를 빼낸 혐의를 받고 있다고 했으며 이들은 동유럽과 미국의 사설 서버에 저장된 훔친 개인정보를 이용해 ATM에서 다량의 현금을 인출하거나 인터넷으로 정보를 거래한 것으로 드러난 사건으로, 11명의 용의자 중 셋은 미국인이며, 나머지는 중국, 에스토니아, 우크라이나, 벨로루시 공화국 출신으로 알려진 기사이다.^[10]
다음 기사는 현재 터키에서 은행 네트워크 관련 사이버 범죄 혐의로 징역 30년을 구형받은 피의자가 지난해 최대 규모의 데이터 침해 사건인 TJX 데이터 침해 사건의 용의자로 밝혀져 충격을 주고 있는 기사로 지난해 9,400만 건의 데이터 유출로 전 세계 대규모 데이터 침해 사건 중 1위를 차지했던 TJX (TJX Cos. Inc) 데이터 침해 사건이 다시금 세간의 주목을 받게 됐으며 당시 신병이 확보되지 않았던 범인 중 한 명인 우크라이나인 야스트렘스키가 현재 터키 감옥에서 복역 중인 것으로 밝혀졌기 때문이었다, 지난해 세계 최대 규모의 데이터 침해 사건에는 미국인 3명, 중국인 2명, 우크라이나인 3명, 에스토니아 1명, 벨라루스인 1명 등으로 구성된 국제 조직이 연관됐던 것으로 알려졌지만 지난 8월 사건 당시, 중국인 2명을 비롯해 우크라이나인 1명, 에스토니아인 1명 등은 신병이 확보되지 않은 상태여서, 현재 터키 은행 온라인 계좌를 침입한 혐의로 터키 감옥에서의 30년 형을 선고받은 야스트렘스키(Yastremskiy, 25세)는 지난 2007년 터키에서 휴가를 보내던 중 체포되었으며 외신 보도에 따르면 당시 경찰은 호텔 방의 그의 노트북에서 터키의 은행 계좌들의 정보가 발견됐으며, 터키 당국의 설명에 따르면 야스트렘스키는 터키 은행 네트워크에 침입해 데이터를 탈취한 것으로 알려졌으며, 야스트렘스키는 현재 터키 은행 네트워크 침입 혐의뿐만 아니라 TJX사(TJX Cos. Inc)에 대한 대규모 보안 침해 사건에 가담한 혐의를 받고 있다. 그는 훔친 데이터를 암시장에 판매한 혐의를 받고 있으며, 검사들은 그가 데이터 판매로 천 백만 달러 이상을 벌어들였다고 주장하고 있으며 현재 미(美) 사법 당국은 야스트렘스키의 범죄인 인도를 모색 중인 것으로 알려졌으며, 한편, 지난해 8월 TJX는 자사 Wi-Fi 네트워크를 침입한 해커에 의해 4천 5백만 건 이상의 신용카드가 18개월에 걸쳐 탈취되었다는 사실을 공개했다. 이 사건의 핵심안물 중 한 명인 스티븐 와트(Stephen Watt, 25세)는 기업 컴퓨터 네트워크 내 고객 신용카드 정보를 포함한 데이터의 모니터와 캡처에 이용하기 위해 조작된 스니퍼 프로그램을 제공한 혐의로 구속되었으며, 현재 미(美) 지방 법원에서의 재판을 앞두고 있다는 기사 내용이다.^[11]

논란

미국 항소법원의 판사들이 마이크로소프트 사건에 대한 판결문을 쓰고 있을 때, 혹시 그들의 컴퓨터 화면에 ‘도움이 필요합니까’라는 애니메이션 화면이 뜨지는 않았는지 사실 마이크로소프트 사건은 누군가의 도움 없이 혼자 이해하기에는 매우 복잡한 사건이라는 기사내용이다, 문제를 쉽게 이해하기 위해, 인터넷을 통해 냄새를 전송하는 방법이 개발되었다고 상상해보면, 이 방법을 이용하는 컴퓨터 사용자들을 위해 여러 회사가 냄새 파일을 찾아서 ‘.snf’ 포맷으로 다운로드를 할 수 있게 해 주는 소프트웨어들을 내놓을 때 마이크로소프트가 이들과 경쟁하기 위해 ‘.sml’ 파일 포맷을 내놓은 동시에 마이크로소프트에는 어떤 규칙이 적용될 수 있을까? 극단적으로 말해 마이크로소프트는 마음 내키는 대로 무엇이든 할 수 있을 정도이다, 이를테면 윈도우 미디어 스니퍼(sniffer·냄새 탐지기)가 작동할 수 있는 새로운 컴퓨터 운영체계를 내놓을 수도 있기는 하지만 마이크로소프트의 경쟁사들은 그렇게 할 수 없다. 왜냐하면 마이크로소프트가 컴퓨터 운영체계 시장을 독점하고 있기 때문이어서다, 반대쪽 극단으로 시각을 옮겨 보면 마이크로소프트가 자체적인 스니퍼를 내놓지 못하게 만든다고 가정해볼 시 지난번 재판에서 토머스 잭슨 판사가 내놓은 해결책이 바로 이런 것이다, 그러나 이번에 항소법원이 잭슨 판사의 판결을 뒤집은 것은 이 방법이 소비자들에게도 커다란 불편과 부담이 되기 때문이라서 이 두 가지 극단 가운데 어디쯤에서 해결책이 마련되어야 한다. 이 때 가장 중요한 문제는 마이크로소프트가 운영체계에 끼워 팔 수 있는 소프트웨어가 어떤 것이나 하는 점이 될 것이다. 이번 법원의 판결을 필자가 이해하기로는, 마이크로소프트가 스니퍼를 운영체계에 공짜로 끼워 파는 데에는 문제가 없지만, 이 스니퍼가 ‘.sml’ 파일만 읽을 수 있는 프로그램이라면 문제가 될 수 있다, 이를 통해 마이크로소프트의 독점적인 파일 포맷인 ‘.sml’이 엄청나게 유리한 위치를 차지하기 때문이다, 그런데 마이크로소프트는 이번에 새로 시판되는 윈도 XP에 자사의 독점적인 포맷으로 되어 있는 음악과 비디오만을 재생해주는 윈도 미디어 플레이어를 포함했다. 독점에 관한 재판이 진행되고 있는 상황에서 마이크로소프트의 이런 행동은 거만하기 짝이 없기 때문에, 잭슨 판사가 마이크로소프트의 경영진을 믿을 수 없다고 주장한 것은 바로 이거만 함을 지적한 것이기 때문이다. 이제 잭슨 판사의 주장이 틀렸음을 증명하는 것은 마이크로소프트의 몫이 되어서 만약 이를 증명하지 못한다면, 그들은 다시 법정에 서게 될 것이며 이번에야말로 커다란 매를 맞게 될지도 모른다는 기사의 내용이다.^[12]

각주

↑ ^1.0 ^1.1 〈스니퍼〉, 《네이버 지식백과》
↑ 밤공기후하후하, 〈IT보안-스니퍼,Sniffer란 무엇인가〉, 《네이버 블로그》, 2019-04-10
↑ ^3.0 ^3.1 〈와이어샤크〉, 《위키백과》
↑ hongPossible, 〈Wireshark란? / 설치법〉, 《티스토리》, 2018-11-16
↑ Cyp Cyp9715, 〈WireShark 매뉴얼〉, 《티스토리》, 2021-01-03
↑ 〈tcpdump〉, 《위키백과》
↑ ^7.0 ^7.1 ^7.2 〈tcpdump 명령〉, 《IBM》
↑ ^8.0 ^8.1 ^8.2 ^8.3 ^8.4 ^8.5 by user_id, 〈스니퍼 대응책(스니핑 탐지법)〉, 《지식잡식》, 2016-10-12
↑ 〈네트워크 패킷 스니퍼 란 무엇입니까?〉, 《네틴백》
↑ 백인성 기자, 〈미 최대 규모 해킹사건..신용카드번호 등 4000만건 훔쳐〉, 《전자신문》, 2014-11-06
↑ 김동빈 기자, 〈TJX 침해 범인, 국제적 사이버범죄 행각 드러나〉, 《시큐리티 월드》, 2009-01-12
↑ 〈[폴크루그먼 칼럼오만한 MS 독점 횡포]〉, 《동아일보》, 2001-07-02

참고자료

〈스니퍼〉, 《네이버 지식백과》
hongPossible, 〈Wireshark란? / 설치법〉, 《티스토리》, 2018-11-16
〈와이어샤크〉, 《위키백과》
밤공기후하후하, 〈IT보안-스니퍼,Sniffer란 무엇인가〉, 《네이버 블로그》, 2019-04-10
Cyp Cyp9715, 〈WireShark 매뉴얼〉, 《티스토리》, 2021-01-03
〈tcpdump 명령〉, 《IBM》
〈tcpdump〉, 《위키백과》
〈네트워크 패킷 스니퍼 란 무엇입니까?〉, 《네틴백》
〈[폴크루그먼 칼럼오만한 MS 독점 횡포]〉, 《동아일보》, 2001-07-02
김동빈 기자, 〈TJX 침해 범인, 국제적 사이버범죄 행각 드러나〉, 《시큐리티 월드》, 2009-01-12
홍기범 기자, 〈한국NA-소프트뱅크커머스, `스니퍼 디스트리뷰티드 프로모션` 실시〉, 《전자신문》, 2004-04-08
by user_id, 〈스니퍼 대응책(스니핑 탐지법)〉, 《지식잡식》, 2016-10-12
〈스니퍼〉, 《네이버 지식백과》
백인성 기자, 〈미 최대 규모 해킹사건..신용카드번호 등 4000만건 훔쳐〉, 《전자신문》, 2014-11-06

같이 보기

이 스니퍼 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[.3D.22.EC.8A.A4.EB.8B.88.ED.8D.BC.22-1] 1.0 ^1.1 〈스니퍼〉, 《네이버 지식백과》

[2] 밤공기후하후하, 〈IT보안-스니퍼,Sniffer란 무엇인가〉, 《네이버 블로그》, 2019-04-10

[.3D.22.EC.99.80.EC.9D.B4.EC.96.B4.EC.83.A4.ED.81.AC.22-3] 3.0 ^3.1 〈와이어샤크〉, 《위키백과》

[4] Possible, 〈Wireshark란? / 설치법〉, 《티스토리》, 2018-11-16

[5] Cyp Cyp9715, 〈WireShark 매뉴얼〉, 《티스토리》, 2021-01-03

[6] 〈tcpdump〉, 《위키백과》

[tcpdump-7] 7.0 ^7.1 ^7.2 〈tcpdump 명령〉, 《IBM》

[.ED.83.90.EC.A7.80-8] 8.0 ^8.1 ^8.2 ^8.3 ^8.4 ^8.5 by user_id, 〈스니퍼 대응책(스니핑 탐지법)〉, 《지식잡식》, 2016-10-12

[9] 〈네트워크 패킷 스니퍼 란 무엇입니까?〉, 《네틴백》

[10] 백인성 기자, 〈미 최대 규모 해킹사건..신용카드번호 등 4000만건 훔쳐〉, 《전자신문》, 2014-11-06

[11] 김동빈 기자, 〈TJX 침해 범인, 국제적 사이버범죄 행각 드러나〉, 《시큐리티 월드》, 2009-01-12

[12] 〈[폴크루그먼 칼럼오만한 MS 독점 횡포]〉, 《동아일보》, 2001-07-02

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

@@ 3번째 줄: / 3번째 줄: @@
 ==개요==
 스니퍼는 [[스니핑]](Snipping)에서 나온 말이다. 사전적 뜻으로는 "냄새를 맡다"이며 이러한 행위를 하는 도구를 스니퍼라고 하며 이것은 [[네트워크]]에서 [[병목현상]] 등과 같은 문제점을 발견해 내는 프로그램으로 트래픽의 동향을 효율적으로 이용하게 해주는 기술이다. [[랜포트]]에 접속시키면 [[랜]]에 올려져 있는 거의 모든 트래픽 데이터를 분석할 수 있다. [[이더넷]]·[[토큰링]]·[[FDDI]]·[[WAN]]·[[ATM]] 버전이 [[모듈화]]되어 있으며, 원격지 [[트래픽]]를 분석할 수 있는 것으로 [[DSS]](Distributed Sniffer System) 가 있다. 운영체제에 따라 마스터 1대 또는 여러 대의 전용 서버로 구성되기도 한다. 또한 가장 많이 이용되는 크래킹 기술을 표현하기도 하며 네트워크로 전송되는 패킷들은 어떤 사용자가 어느 호스트에 로그인했다는 등 다양한 정보를 가지고 있어서 여기에 잠입하여 발신지와 수신지 주소는 물론 패킷의 데이터까지 알아낼 수 있기도 하며 한편 데이터베이스에 어떤 데이터가 중복되고 있는지를 분석하는 데이터분석 프로그램을 의미하기도 하는 내용이다.<ref name=="스니퍼"></ref>
-==다른 의미==
-*가스 샘플을 채취하여 방사능 함량을 분석하는 기기를 뜻하는 것이다.
-*염수 샘플을 채취하여 그 탄화수소 함량을 분석하는 기기를 나타내는 것이다.<ref> 〈[https://terms.naver.com/entry.naver?docId=395574&cid=50316&categoryId=50316 스니퍼]〉, 《네이버 지식백과》 </ref>
 ==도구==

위키

이름공간

변수

보기

더 보기

검색