패킷 수준의 정상적인 네트워크 트래픽이 어떻게 동작되는지 알아보고, 패킷 모니터링을 통해 Baseline 설정해두고 이후 패킷을 모아서 이상치를 판단
SYN>SYN,ACK> YCK 를 통해 TCP 3-Way handshake로 통신하였음을 확인 할 수 있음
SYN,ACK 응답에서 Seqense 번호가 0인 이유는 172.16.16.128이 요청한 SYN에 대한 응답이기에 시퀀스 번호가 0임
TCP 프로토콜을 통해 통신을 한 뒤 호스트가 GET 명령으로 홈페이지에 연결을 요청하여, 서버가 ACK 로 응답한 홈페이지 전송
호스트가 데이터를 잘 받았다고 전달하고, 서버가 HTTP 프로토콜로 전송을 확인
TCP HTTP 중 Follow TCP Stream 으로 들어가면
빨강색 클라이언트(요청자): 클라이언트의 정보를 확인 할 수 있음
파란색 호스트(응답자): 서버의 정보를 확인 할 수 있음 > 전송내용은 HTTPS로 전환되어있기 때문에 암호화 되어보여짐
Time 항목을 보면 속도에 대한 판단을 할 수 있음
3,4사이의 Time과 4,5사이에 Time 차를 확인해보면 5번으로 넘어갈때 Time이 오래걸린 것을 확인 할 수 있음
172.16 IP주소가 193.136 주소를 가진 서버에게 홈페이지 요청하였으나
193.136 주소가 Reassembled 하여 패킷을 재조립하고 있음 > Time이 늘어남
Reassebled: 재조립/Retrancemision : 재전송
TCP 전송 방식은 패킷 스위칭 방식을 사용
패킷 스위칭 방식: 시퀀스 번호를 헤더에 붙여서 네트워크의 상태에 따라 유동적으로 데이터 전송, 목적지에서 재조립
동기화 전송: 패킷의 순서대로 가는 것, 시리얼 연결(거리가 짧아야 함)
Packet Lengths
패킷의 크기별로 점유율을 확인 할 수 있는데
위 패킷 캡처 본에서는 1280 이상의 큰 패킷들은 전체 트래픽에서 66.43을 차지하고 있고, 다운로드와 업로드 게이트웨이 전송들에 대해서 확인 가능
시그널의 크기
TCP 54byte, IP 20byte, Ethernet 14byte를 일반적으로 가지고
처리 시간이 오래걸릴 경우 데이터를 통신하고 있음을 확인 할 수 있음
Follow 그래프 - HTTP 연결
:대부분 패킷 reassemble 부분에서 시간이 소요되는 것을 확인 할 수 있음
IO그래프 - 다운로드 느린 경우
: 네트워크에서 데이터 처리량을 보는중
평균 초당 6,70 정도의 패킷을 오고 가는 것을 확인 할 수 있음
RTT(Round Trip Time) - 다운로드 빠를 경우
왕복 Time 시퀀스를 볼 수 있음
0에 가까이 몰려 있을 수록 전송 속도가 더 좋다는 것을 알 수 있음
Throughput grap - 다운로드 빠를 경우
전체적인 데이터 크기에 따라 확인 할 수 있음
와이어 샤크에서 각 프로토콜에 대한 정밀 분석기는 해당 프로토콜을 사용해서 패킷 내의 특정 상태 사용자에게 경고를 주는 expert_info 정의
스위치 장비는 각 포트에 연결된 모슨 호스트의 MAC 주소를 CAM(Content Addressable Memory) 테이블에 저장해두고 네트워크 상의 장비들을 상호 연결
스위치가 특정 MAC 주소로 가는 트래픽을 수신하면 도메인을 분할
호스트는 목적지 호스트의 MAC 주소를 모르면 먼저 자신의 캐시에 저장되어 있는 MAC 주소 목록을 보고 목적지를 찾음
ARP
일반적인 ARP 프로토콜로 브로드캐스트를 요청하고 MAC 주소를 응답
gratuitous ARP
네트워크 장비가 추가가 됐을 때 본인의 존재를 알리기 위한 패킷, 통신의목적이 아님으로 요청 패킷 하나 밖에 없음을 확인 할 수 있음
Target MAC address 가 00000 ... 임을 확인할 수 있음
해당 요청을 받은 장비들은 MAC 주소를 본인의 캐시메모리에 저장
TTL은 라우터를 지날 때 마다 감소하고 0이 되면 패킷을 폐기
PING 을 보낸 것은 10.10.0.3이고 캡처한 곳은 192.168.0.128
위의 것과 반대로 10.10.0.3에서 캡처 한 거고 192.168.0.128이 ping을 전송함
=> TTL은 라우터를 지나갈 때 감소하는 것으로 방향을 판단 할 수 있음
fragmented : 장비가 보낼 수 있는 최대 데이터 크기가 모두 다르므로 간편화로 맞추어야됨
Total Length MTU 1500 넘으면 단편화가 발생 -> frags set 되어있으면 더 보낼 데이터가 존잼함 을 확인 할 수 있음
no.2 의 internet protocol 정보를 보면
flag에 more fragment 가 확인됨을 알 수 있음
no.3을 열어보면 flag가 not set 임을 확인 할 수 있음 더이상 분할할 패킷이 없다는 의미
패킷을 전송할 때 사용되는 Source port
패킷이 전송되어 들어가는 Desination port
TCP 세그먼트에서 식별을 위해서 사용되는 번호로써 데이터 스트림의 일부가 누락되지 않게 하는 Sequence number,
상대로부터 기대되는 다음 패킷의 일련 번호인 Acknowledgment number