누가 사용자의 HTTP 트래픽을 엿들을 수 있나요?

Question 1

쉬움 - PC에서 서버까지 케이블을 따라가기만 하면 됩니다.

이것은 아마도 오스트리아에만 국한된 것일 수도 있지만 아마도 전 세계적으로 비슷해 보일 것입니다.

DSL 사용자가 있다고 가정해 보겠습니다.

PC -> 이더넷 -> 모뎀

로컬 인프라에 접근할 수 있는 사람은 누구나 트래픽을 스니핑할 수 있습니다.

모뎀 -> 2선 구리 -> DSLAM

데이터를 해독할 수 있는 구리 인프라 및 장비에 접근할 수 있는 사람은 누구나 도청할 수 있습니다. 이 배선의 대부분은 상대적으로 보호되지 않으며 어디를 봐야 할지 알면 접근하기 쉽지만 실제로 데이터를 디코딩하려면 매우 특정한 장비가 필요할 수 있습니다.

DSLAM -> ISP 인프라 -> ISP 코어 라우터

대부분의 DSLAM은 광섬유를 통해 일종의 광섬유 링/MAN, ISP 라우터에 연결됩니다.

독일에서는 미국의 3개 통신사로 추정되는 A가 수도권 네트워크의 트래픽을 도청했다는 이야기가 있었습니다. 이를 수행할 수 있는 기성 장치가 있으므로 로컬 인프라에 대한 적절한 예산, 의도 및 지식만 있으면 됩니다.

ISP 코어 라우터 -> BGP -> 대상 AS

대상 서버가 사용자와 동일한 자치 시스템에 있지 않다는 점을 고려하면 트래픽은 "인터넷"을 통해 전송되어야 합니다. 인터넷을 통해 Snatch의 인용문을 사용하려면 "All Bets Are Off"를 사용하세요. 악의적인 운영자가 자신을 연결할 수 있는 구석구석이 너무 많기 때문에 모든 트래픽을 읽을 것이라고 가정하는 것이 가장 좋습니다.

DHS(또는 다른 기관)는 이 수준에서 미국의 백본 인프라를 적극적으로 도청했습니다.

대상 AS Border 라우터 -> ISP 인프라 -> 주택센터

위 참조.

하우징센터 라우터 -> 스위치 -> 서버

이미 상당수의 사이트가 공격을 받은 방식입니다. 이더넷은 동일한 (V)LAN/브로드캐스트 도메인에 있는 호스트에 대해 보호 기능을 제공하지 않으므로 모든 호스트는 다른 서버를 가장하기 위해 ARP 스푸핑/중독을 시도할 수 있습니다. 이는 특정 서버의 모든 트래픽이 동일한 (V)LAN에 있는 시스템을 통해 터널링될 수 있음을 의미합니다.

Answer

쉬움 - PC에서 서버까지 케이블을 따라가기만 하면 됩니다.

이것은 아마도 오스트리아에만 국한된 것일 수도 있지만 아마도 전 세계적으로 비슷해 보일 것입니다.

DSL 사용자가 있다고 가정해 보겠습니다.

PC -> 이더넷 -> 모뎀

로컬 인프라에 접근할 수 있는 사람은 누구나 트래픽을 스니핑할 수 있습니다.

모뎀 -> 2선 구리 -> DSLAM

데이터를 해독할 수 있는 구리 인프라 및 장비에 접근할 수 있는 사람은 누구나 도청할 수 있습니다. 이 배선의 대부분은 상대적으로 보호되지 않으며 어디를 봐야 할지 알면 접근하기 쉽지만 실제로 데이터를 디코딩하려면 매우 특정한 장비가 필요할 수 있습니다.

DSLAM -> ISP 인프라 -> ISP 코어 라우터

대부분의 DSLAM은 광섬유를 통해 일종의 광섬유 링/MAN, ISP 라우터에 연결됩니다.

독일에서는 미국의 3개 통신사로 추정되는 A가 수도권 네트워크의 트래픽을 도청했다는 이야기가 있었습니다. 이를 수행할 수 있는 기성 장치가 있으므로 로컬 인프라에 대한 적절한 예산, 의도 및 지식만 있으면 됩니다.

ISP 코어 라우터 -> BGP -> 대상 AS

대상 서버가 사용자와 동일한 자치 시스템에 있지 않다는 점을 고려하면 트래픽은 "인터넷"을 통해 전송되어야 합니다. 인터넷을 통해 Snatch의 인용문을 사용하려면 "All Bets Are Off"를 사용하세요. 악의적인 운영자가 자신을 연결할 수 있는 구석구석이 너무 많기 때문에 모든 트래픽을 읽을 것이라고 가정하는 것이 가장 좋습니다.

DHS(또는 다른 기관)는 이 수준에서 미국의 백본 인프라를 적극적으로 도청했습니다.

대상 AS Border 라우터 -> ISP 인프라 -> 주택센터

위 참조.

하우징센터 라우터 -> 스위치 -> 서버

이미 상당수의 사이트가 공격을 받은 방식입니다. 이더넷은 동일한 (V)LAN/브로드캐스트 도메인에 있는 호스트에 대해 보호 기능을 제공하지 않으므로 모든 호스트는 다른 서버를 가장하기 위해 ARP 스푸핑/중독을 시도할 수 있습니다. 이는 특정 서버의 모든 트래픽이 동일한 (V)LAN에 있는 시스템을 통해 터널링될 수 있음을 의미합니다.

Question 2

스위치 LAN(대부분의 이더넷 네트워크와 마찬가지로)에서는 ARP 캐시 중독을 사용하여 대부분의 경우 이러한 트래픽을 도청할 수 있습니다. 기본적으로 클라이언트 컴퓨터를 속여서 도청 스테이션이 LAN 외부의 라우터인 것처럼 보이게 할 수 있습니다.

공유 미디어 LAN에서 - 즉, 비스위치,암호화가 없거나 암호화가 손상된 무선 이더넷과 같습니다.-- 그럴 필요도 없습니다. 그냥 들어보세요!

ISP, ISP의 ISP, ISP의 ISP의 ISP... 등에서 공격자는 트래픽을 스니핑하기만 하면 됩니다. 트래픽이 흐르는 경로의 모든 지점은 잠재적인 도청의 대상이 됩니다. 그 사이에도 LAN이 있기 때문에 ARP 캐시 중독 등으로 도청할 가능성이 항상 존재합니다.

마지막으로 맨 끝에는 소스 LAN과 마찬가지로 도청에 취약한 또 다른 LAN이 있습니다.

J. 귀하의 IP 주소를 아는 임의의 바보는 도중에 무언가를 해킹하거나 트래픽 흐름을 정상적인 경로에서 다른 곳으로 전환하지 않고서는 귀하의 트래픽을 도청하지 않을 것입니다.

예-- 일반 텍스트는 좋지 않습니다.

Answer

스위치 LAN(대부분의 이더넷 네트워크와 마찬가지로)에서는 ARP 캐시 중독을 사용하여 대부분의 경우 이러한 트래픽을 도청할 수 있습니다. 기본적으로 클라이언트 컴퓨터를 속여서 도청 스테이션이 LAN 외부의 라우터인 것처럼 보이게 할 수 있습니다.

공유 미디어 LAN에서 - 즉, 비스위치,암호화가 없거나 암호화가 손상된 무선 이더넷과 같습니다.-- 그럴 필요도 없습니다. 그냥 들어보세요!

ISP, ISP의 ISP, ISP의 ISP의 ISP... 등에서 공격자는 트래픽을 스니핑하기만 하면 됩니다. 트래픽이 흐르는 경로의 모든 지점은 잠재적인 도청의 대상이 됩니다. 그 사이에도 LAN이 있기 때문에 ARP 캐시 중독 등으로 도청할 가능성이 항상 존재합니다.

마지막으로 맨 끝에는 소스 LAN과 마찬가지로 도청에 취약한 또 다른 LAN이 있습니다.

J. 귀하의 IP 주소를 아는 임의의 바보는 도중에 무언가를 해킹하거나 트래픽 흐름을 정상적인 경로에서 다른 곳으로 전환하지 않고서는 귀하의 트래픽을 도청하지 않을 것입니다.

예-- 일반 텍스트는 좋지 않습니다.

Question 3

경로를 따라 어디에서나(WiFi 카드, 무선 브리지 등) 무선을 링크에 넣으면 네트워크 근처에 있는 사람이라도 누구나 들을 수 있습니다.

WEP는 바쁜 네트워크 옆에 비교적 짧은 시간 동안 앉아 있으면 쉽게 깨질 수 있으며 네트워크에 접속하면 모든 사람의 트래픽을 볼 수 있습니다.

원한다면 직접 사용해 보세요. WireShark라는 프로그램을 다운로드하고 Promiscious 모드에서 캡처하도록 요청하세요. 무슨 일이 일어나는지 확인하세요!

민감하고 기밀이며 개인적이고 비즈니스와 관련된 모든 항목은 HTTPS를 통해 전송되어야 합니다. 서명된 인증서는 비용이 많이 들지 않으며, 도메인에 있는 경우 동일한 도메인의 클라이언트가 자동으로 신뢰하는 트래픽을 암호화하기 위해 인증서를 할당하는 데 사용할 수 있는 자체 인증 기관을 만들 수 있습니다.

Answer