이 프로토콜 아시는분 계신가요.

문득 생각나서 올립니다. 

케이쉴드 주니어 초반에 내주셨던 숙제같은 질문이셨는데.. 답을 안가르쳐 주셔서 아직 의문으로 남아있습니다.

어떤 프로토콜이냐면요. 

보통 패킷 스니핑을 하려면 동일한 네트워크에서 ARP 스푸핑 같은 기법을 사용해서 스니핑을 진행하게 되는데요. 스니핑을 하기 위해서는 동일한 네트워크내에 있어야 한다는 제약조건이 존재하죠. 그런데..

동일한 네트워크 상에 있지않아도, 특정 네트워크 내에 있는 특정 클라이언트의 패킷을 스니핑 할 수 있는 프로토콜이 있었?다고 합니다.
쉽게말하면, 우리집에서 집에서 떨어져 있는 스타벅스에 있는 사람의 패킷을 스니핑 하는것이죠. 

---

암튼.. 일단 제 상식선에서 생각해보면 어쩄든 패킷을 스니핑 하려면... 그사람이 보내는 패킷을 저를 통해가야 되는데.. 같은 네트워크가 아니니까 ARP스푸핑은 불가능합니다. 그러면 생각해볼 수 있는게 프록시 혹은 SSH 터널링일것같은데. 임의로 그 사람의 컴퓨터에 악성코드를 심는 등의 행위를 하지 않고는 불가능 할 것 같습니다. 

궁금하네요.. 뭘까요ㅠ 지식이 부족해서 모르겠네요.

알아내면 돌아오겠습니다 ㅇ.ㅇ

 

---

음.. 프로토콜은 모르겠고, 동일 네트워크를 크~게 생각해서 상위의 상위의 라우터를 타면 결국 같은 네트워크 대역이라는건데 흠... 글쎼요 아직 잘모르겠네요 ㅠㅠ.. 

그렇게 같은 네트워크단을 묶어버리면, 그 밑으로 가지쳐진 수많은 라우터들이 있을텐데 그 중에 스타벅스의 라우터를 어떻게 찾을것이며, 만약 찾는다고해도... 거쳐가는 모든 라우터를 지나는 패킷을 끌어와야 되지 않을까요 모르게따.. 또 알아내면 돌아오겠습니다~~

 

---

ㅋㅋ 5년만에 돌아왔습니다. ChatGPT의 발전으로 구글링으로도 찾을 수 없었던 두루뭉실한 정보를 찾을 수 있게 됐네요.

1. BGP 하이재킹 시나리오
상황:
집에 있는 공격자가 BGP 하이재킹을 이용해 스타벅스에 있는 사용자의 패킷을 스니핑하려고 합니다.
시나리오:
공격자는 인터넷 서비스 제공자(ISP)나 특정 네트워크의 경로 설정을 조작할 수 있는 권한을 얻습니다. 이를 통해 공격자는 BGP(Border Gateway Protocol)를 통해 인터넷 트래픽이 라우팅되는 경로를 변경할 수 있게 됩니다.스타벅스에서 인터넷을 사용하고 있는 사용자는 ISP를 통해 인터넷에 접속하여 트래픽을 주고받고 있습니다. 정상적인 상황에서는 스타벅스 네트워크에서 발생하는 트래픽은 최적의 경로로 인터넷을 통해 목적지 서버로 전송됩니다.그러나, 공격자는 BGP 하이재킹을 통해 스타벅스 네트워크의 트래픽이 인터넷을 통해 전달되는 경로를 변경합니다. 공격자는 자신이 통제하는 네트워크 경로로 스타벅스의 트래픽이 지나가도록 BGP 라우팅 테이블을 조작합니다.이제 스타벅스의 사용자가 인터넷에 접속할 때, 그 사용자의 트래픽은 정상적인 경로가 아니라, 공격자가 설정한 우회 경로를 통해 전달됩니다. 공격자는 이 경로에서 해당 사용자의 모든 트래픽을 스니핑하고 분석할 수 있게 됩니다.예를 들어, 스타벅스 사용자가 웹사이트에 접속하거나 로그인할 때 발생하는 패킷들이 암호화되지 않은 HTTP 트래픽이라면, 공격자는 해당 패킷에서 로그인 정보나 민감한 데이터를 가로챌 수 있습니다.BGP 하이재킹은 광범위한 네트워크 경로 조작을 통해 공격자가 물리적으로 멀리 떨어져 있더라도 특정 사용자의 트래픽을 가로채는 것이 가능합니다.
결론:
이 시나리오에서는 공격자는 물리적으로 같은 네트워크에 있지 않아도, BGP 라우팅 정보를 조작함으로써 스타벅스에서 발생하는 트래픽을 자신의 경로로 우회시켜 스니핑할 수 있었습니다.

2. RIPv1 취약점 시나리오
상황:
집에 있는 공격자가 RIPv1 프로토콜의 취약점을 이용해 스타벅스에서 인터넷을 사용하는 사용자의 패킷을 스니핑하려고 합니다.
시나리오:
스타벅스는 오래된 라우팅 프로토콜인 RIPv1을 사용하고 있으며, 이는 보안 인증 기능이 없어서 외부에서 공격자가 쉽게 라우팅 정보를 조작할 수 있는 취약점이 존재합니다.공격자는 인터넷을 통해 스타벅스 네트워크와 연결된 경로 상에 접근할 수 있으며, RIPv1 라우터로 위장해 라우팅 업데이트를 전송합니다. 공격자는 RIPv1의 신뢰할 수 없는 특성을 이용하여 잘못된 라우팅 정보를 스타벅스 라우터에 전달합니다.이 잘못된 라우팅 정보는 스타벅스의 라우터가 트래픽을 잘못된 경로로 전송하게끔 만듭니다. 즉, 스타벅스에서 발생하는 인터넷 트래픽이 정상적으로 목적지로 전송되지 않고, 공격자가 설정한 경로를 통해 전달됩니다.공격자는 자신의 네트워크로 스타벅스의 트래픽이 오도록 설정한 후, 그 트래픽을 스니핑합니다. 이 트래픽은 암호화되지 않은 데이터일 경우, 공격자는 해당 데이터를 분석하여 사용자의 개인정보, 로그인 정보, 또는 기타 민감한 정보를 가로챌 수 있습니다.RIPv1은 기본적으로 암호화나 인증 기능이 없기 때문에, 공격자는 아주 쉽게 스타벅스 라우터를 속이고 라우팅 테이블을 조작하여 트래픽을 가로챌 수 있었습니다.
결론:
RIPv1의 취약점을 악용한 공격은 비교적 간단하면서도 위험할 수 있었는데, 이 시나리오에서는 공격자가 동일한 네트워크에 있지 않아도 라우팅 정보를 조작함으로써 원격지에서 특정 클라이언트의 트래픽을 가로챌 수 있었습니다.

이 두 시나리오에서 공통적으로 사용된 공격 방식은 라우팅 정보를 조작함으로써, 물리적으로 떨어진 네트워크의 트래픽을 공격자에게 유도하는 방식입니다. BGP 하이재킹은 글로벌 라우팅 테이블을 조작하는 방식이고, RIPv1은 더 국소적인 라우팅 프로토콜의 취약점을 이용한 방식입니다.