ネットワーク用語でスヌーピング(snooping)とスプーフィング(spoofing)という用語があります。いまいち混乱するので(僕だけかもしれませんが)覚書です。
まず、スヌーピングとスプーフィングの意味について。
【snoop】(スヌーピングの動詞)
意味:詮索する、嗅ぎ回る。ネットワークの分野で使うときは「盗み見る」という意味あいで使われる。
【spoof】(スプーフィングの動詞)
意味:だます、偽る。ネットワークの分野で使うときも「だます」という意味あい。
で、スヌーピングやスプーフィーングが使われるネットワーク用語には以下のものがあります。
■スヌーピング
DHCPスヌーピング、IGMPスヌーピング、など。思いつくのはこれぐらい。
DHCPスヌーピングがどういうものかというと、スイッチが搭載している機能のことです。DHCPパケットを「盗み見」して、不正なDHCPサーバーからのIPアドレスの払い出しを防ぐ機能です。スイッチには正規のDHCPサーバーがつながっている信頼できるポートを設定して、そこから払い出されたIPアドレスを各ポート(クライアント)に転送します。ちなみに、不正なDHCPサーバーになりすまして偽のIPアドレスを払い出す攻撃をDHCPスプーフィングと言います。
IGMPスヌーピングについてですが、これもスイッチが搭載している機能のことです。スイッチはマルチキャストパケットを「盗み見」して、マルチキャストを受信するクライアントにのみパケットを転送する機能です。通常、マルチキャストパケットはスイッチの全ポートにフラッディング(転送)されるのですが、それでは不要なパケットをクライアントに渡してしまうためスイッチで抑制できるようにしています。前回の記事の後半でIGMPスヌーピングについて書いているので見てみてください。
■スプーフィング
ARPスプーフィング、IPスプーフィング、など。
ARPはIPアドレスからMACアドレスを解決するプロトコルですが、ARPスプーフィングはこのARP要求に対して偽のARP応答を返すことです。攻撃手法として使われます。これにより正しくないARPテーブルのエントリが作成されてしまい、本来の通信先ではない相手にパケットが送られることになります。ただセキュリティ製品の中には意図的にこの仕組みを使っているものもあって、わざとパケットを自分に向けて(自分を通すようにして)パケットをチェックしたりしています。
IPスプーフィングは、送信元のIPアドレスを偽のものにしてパケットを送ることです。こちらはほぼ攻撃目的で使われることが多いと思います。DoS攻撃の際など送信元のIPアドレスを偽って、攻撃者の特定を困難にしたりします。