Switch Jamming 공격에 대해 알아보겠습니다.

 

Ⅰ. Switch Jamming 이란?

Switch jamming은 네트워크 스위치를 목표로 하는 공격 기술로, 스위치의 정상적인 작동을 방해하거나 비활성화하는 것을 목적으로 사용되며, 주로 스위치의 트래픽 관리 기능을 마비시키거나, 스위치의 메모리와 CPU 자원을 소모하여 정상적인 데이터 패킷 처리를 방해하는 공격 기법입니다. 

Ⅱ. 주요 공격 기법

1. Flooding 공격
ⅰ. MAC Flooding : 공격자가 대량의 MAC 주소를 스위치에 전송하여 스위치의 MAC 주소 테이블을 가득 채우는 공격입니다. 스위치가 새로운 MAC 주소를 학습할 수 없게 되면, 정상적인 트래픽이 브로드캐스트로 전환되어 네트워크 성능이 저하됩니다.
ⅱ. ARP Flooding : 대량의 ARP 요청을 생성하여 스위치를 과부하시키는 공격입니다. 스위치가 ARP 테이블을 업데이트하는 데 필요한 자원이 소모되어 정상적인 ARP 요청이 처리되지 않을 수 있습니다.
2. VLAN Hopping
ⅰ. Double Tagging : VLAN 태그를 이중으로 사용하여 공격자가 다른 VLAN으로 트래픽을 보낼 수 있게 하는 공격입니다. 이는 스위치가 첫 번째 VLAN 태그를 제거하고, 두 번째 태그가 적용된 트래픽을 다른 VLAN으로 전달하게 만듭니다.
ⅱ. Switch Spoofing : 공격자가 트렁크 포트로 위장하여 여러 VLAN에 접근할 수 있도록 하는 공격입니다. 이를 통해 공격자는 다양한 VLAN의 트래픽을 캡처하거나 변조할 수 있습니다.
3. Spanning Tree Protocol (STP) 공격
ⅰ.Root Bridge Spoofing : 공격자가 STP 네트워크에서 루트 브리지를 가장하여 트래픽 흐름을 제어하는 공격입니다. 이를 통해 공격자는 네트워크 트래픽을 중단시키거나 특정 경로로 리디렉션할 수 있습니다.

* Spanning Tree Protocol(STP) : 네트워크에서 루프를 방지하기 위해 브리지(스위치) 간에 사용되는 프로토콜

 

Ⅲ. 공격의 영향

ⅰ. 서비스 거부 (DoS) : 네트워크 성능 저하 및 가용성 문제를 초래합니다.
ⅱ. 정보 유출 : 네트워크 트래픽을 캡처하여 민감한 데이터를 탈취할 수 있습니다.
ⅲ. 권한 상승 : 공격자가 다른 VLAN이나 네트워크 세그먼트에 접근할 수 있게 되어 보안 경계를 넘어서는 권한을 획득할 수 있습니다.

Ⅳ. 방어 방법

1. Port Security
 스위치 포트 보안을 설정하여 각 포트에 대해 학습할 수 있는 MAC 주소의 수를 제한합니다. 불법적인 MAC 주소가 감지되면 해당 포트를 비활성화하거나 경고 메시지를 생성합니다.
2. VLAN 보안 설정
ⅰ. VLAN Access Control Lists (VACLs) : VLAN 간 트래픽을 필터링하고 허가된 트래픽만 허용합니다.
ⅱ. Trunk Port 제한: 트렁크 포트를 최소화하고, 필요한 포트만 트렁크로 설정합니다.
3. STP 보호
ⅰ. BPDU Guard : BPDU 패킷이 포트에 수신되면 해당 포트를 차단하여 스위칭 네트워크의 무결성을 유지합니다.
ⅱ. Root Guard : 특정 포트가 루트 브리지 역할을 맡지 않도록 제한합니다.
4. 네트워크 모니터링
ⅰ. 로그 및 경고 : 네트워크 트래픽을 모니터링하고 비정상적인 활동을 감지하여 경고를 생성합니다.
ⅱ. IDS/IPS : 침입 탐지 및 방지 시스템을 사용하여 네트워크 공격을 실시간으로 탐지하고 대응합니다.