Sniffing.

코로 냄새를 맡다.

네트워크 선로를 계속 보면서 지나다니는 패킷을 수집하겠다는 것.
좋은 목적? 관리자가 자신의 시스템을 관리하려는 목적으로 사용 가능.
악의 목적? 지나다니는 ID, P/W를 가로챌 수도 있다. ;; 대학교중에는 그렇지 않은 곳이 많다....

Sniffing 의 두 가지 종류
1. Passive
패킷을 수집하기 위해 특별한 행위를 하지 않는다.
보통 맥어드레스를 확인해 보고 내 것이 아니면 폐기 하는데, promisquos? 모드로 하면. 제한하지 않고 모든 패킷을 받아서 본다.
단지 툴을 켜 놓은 상태라고 할 수 있겠다.

대표적인 툴 : Wire Shark. TCP dump  (리눅스)

2. Active
패킷을 수집하기 위해 어떤 특별한 행위를 하는 것을 말한다.
대표적인 예 : ARP spuffing.
스위치는 패킷을 목적지에 맞는 녀석에게만 보내는데, 다른 pc에서는 앉아 있으면 볼 수 없다,
이 때 하는 것의 대표적인 예가 ARP spuffing이라는 것.
처음 통신을 할 때 ARP프로토콜로 패킷을 브로드 캐스팅하는데, 중간에서 패킷에 가짜 정보(내가 수신자라고)를 넣어서 송신자에게 보내버리면, 나한테 데이터가 날라오게 된다.
지금도 유효하다. 하지만 ARP가 2계층의 프로토콜이다보니 로컬 네트워크망 안에서만 유효하다는 것. ( 하지만, 대부분의 네트워크 공격이 로컬망안에서 이루어진다. 그래서 악성코드로 침투하는 것.)

:: A가 C에게 보내려고 하는데, B가 먼저 대답해 버리는 것. 아니면 A가 묻지도 않았는데, B가 먼저 계속 뿌릴 수도 있음.) 그렇게 되면 A가 C에게 보내고 싶을 때는 B에게 보내게 되는 것. B는 정상적으로 통신이 되는 것 처럼 보이게 하기 위해 C에게 다시 메시지를 보내고, B는 C에게 자신이 A인 것마냥 속인다.
즉, A과 C가 통신하는데 B가 그 중간에서 다 보고 있는것이다.
A - C 가 되어야 하지만, A - (B) - C 가 되는 것.
이러한 것을 모두  MITM ( Man In The Middle attack. ) 이라고 한다.

기본적으로 ARP는 학습하는 프로토콜이다. 데이터를 보내고 싶을 때 마다 ARP가 발생하면 브로드캐스팅이 발생해서 네트워크가 마비될 우려가 있기 때문에, pc에 저장하는 특성이 있다.
그래서,, 내가 묻지는 않았지만 상대방이 보내면 저장하는 것을 이용한 ARP spuffing이 나올 수 있었다.

ARP spuffing을 ARP cash poisoning이라고 표현하기도 한다.