[Knowledge] MITM 공격

들어가기 전

MITM 공격(중간자 공격)에 대해서 조금 더 자세히 알고 싶어 글을 작성했다.

---

본문

1. MITM 공격 이란?

MITM은 Man-in-the-Middle Attack의 약자로 한글로 번역하면 "중간자 공격" 이다. 해당 공격은 두 사람 또는 두 시스템 간의 통신을 중간에서 가로채거나 변조하는 공격이다. 공격자는 보통 통신 당사자들이 서로 직접 통신하는 것처럼 보이게 하여 정보를 몰래 훔치거나 변조할 수 있다.

2. MITM 공격 방식

MIMT 공격은 기본적으로 중간자가 통신에 끼어들어, 정보를 가로채거나 변조하는 방식으로 이루어진다.

 

1) 가로채기: 공격자는 통신 경로에 끼어들어, 두 당사자 간의 데이터를 가로챈다.

 

2) 변조: 공격자는 데이터를 수정하거나 추가할 수 있다. 예를 들어, 한 사람이 다른 사람에게 보내는 메시지를 공격자가 바꿔서 전달할 수 있다.

 

3) 위장: 공격자는 한 당사자처럼 행동하여 다른 당사자와 통신할 수 있다. 이를 통해 피해자가 자신이 알고 있는 사람과 대화하는 것처럼 속일 수 있다.

3. MITM 공격 유형

MIMT 공격은 다양한 유형이 존재한다. 

 

1) ARP 스푸핑

ARP라는 네트워크 프로토콜을 악용하는 방식이다. ARP는 네트워크에서 IP 주소와 MAC 주소를 매핑하는 데 사용된다. 공격자는 네트워크 상의 다른 컴퓨터들이 잘못된 ARP 정보를 받아들이도록 속여, 자신이 중간에서 모든 데이터를 가로챌 수 있도록 한다.

 

※ 추가

ARP 통신의 기본 흐름

- A가 B에게 데이터를 보내고 싶다고 가정을 한다면, A는 B의 IP주소는 알고 있지만 MAC 주소는 알지 못함.

- 그래서 A는 네트워크에 ARP 요청을 브로드캐스트로 전송함. 이때 네트워크에 있는 모든 장치는 ARP 요청을 받지만, 요청된 IP 주소와 일치하는 장치만 응답함.

- B는 자신의 IP 주소와 일치하므로, ARP 응답을 A에게 보내고 응답에는 B의 MAC 주소가 포함되어 있음.

- 이제 A는 B의 MAC 주소를 알게 되며, B의 MAC 주소를 사용하여 실제 데이터를 전송할 수 있음

 

예시)

A: 나에게 123.465.7.8의 MAC 주소를 알려줘! (브로드캐스트: 로컬 랜 상에 붙어있는(브로드캐스트 도메인 안에 있) 모든 네트워크 장비들에게 보내는 통신) 

이때 네트워크 상의 모든 장치들은 A 요청을 받지만 해당 IP만 응답하지 다른 장치들은 응답을 하지 않음

B: 내 IP 주소는 123.465.7.8야! 내 MAC 주소는 00:11:22:33:44:55 야! (단방향 전송)

이제 A는 B의 MAC주소를 캐시에 저장하고, 이후 B에게 데이터를 전달함

 

2) 세션 하이재킹

세션 하이재킹은 사용자가 로그인한 후 세션 쿠키를 탈취하여 사용자의 권한을 도용하는 방식이다. 공격자는 중간에서 세션 쿠키를 가로채서 사용자의 인증 없이 시스템에 접근할 수 있다.

 

등등...

 

4. MITM 공격에 대한 대응 방법

1) 암호화: SSL/TLS와 같은 강력한 암호화 프로토콜을 사용하여 데이터를 보호해야 함

 

---

 

마무리

포스터 내용 중 잘못된 정보가 있다면 댓글 부탁드립니다.