패킷분석
패킷 분석을 통해 속도가 느린 네트워크 분석, 보안을 위한 분석과 무선 패킷 분석 등을 수행
패킷 수집을 위해 텍스트 스타일 TcpDump, 그래픽 스타일의 Wireshark 사용
패킷 수집을 패킷 스니퍼
NIC를 Promiscuous(snmp) 만든 후 세그먼트에서 호스트로 오가는 패킷을 취득, binary data로 변경하여 읽을 수 있는 데이터로 만들고 분석
패킷분석
1. 네트워크 특성 분석
2. 사용자의 IP, MAC 등 정보 파악
3. 대역폭 사용자, 사용량 파악
4. 네트워크 사용의 피크 타임 파악
5. 공격 가능성, 악의적 활동 파악
6. 안전하지 않거나, 크기가 큰 응용 어플 파악
7. 네트워크, 시스템의 구성 병목지점 혹은 설정오류 등 파악
패킷 분석은 패킷 스니핑 or 프로토콜 분석으로도 불림.
패킷 분석은 OSI 모델 층별로 구분해 보이기에 알 필요가 있음
데이터 송수신 과정
블록, 패킷, 비트 단위로 전송 기법
1. 사용자는 응용층에만 접속 서버에 접근 시 SYN 보내면 HTTP TCP 활용 응용계층 프로토콜 이기에 TCP의 신뢰성 있는 전달을 보장하기 위해서 TCP HEADER와 SEQUENCE NUMBER(패킷 스위칭 기법이기에 순서번호가 있음)와 DATA 넣어서 캡슐화 IP에게 패킷을 전달해서 논리주소 지정, IP 헤더 생성, 이더넷에게 전송되고, 순서번호에 맞춰 패킷이 재조립 물리층에 전달 서버에게 전달 되는 순서 2. 클라이언트로 부터 패킷을 받은 도메인의 웹 서버는 클라이언트에게 SYN+ACK전달
3. 클라이언트는 서버로부터 파일을 수신함으로써(GET) 자신의 요청이 잘 전달된 것을 확인 (ACK)
- 모든 패킷이 응용층 프로토콜로 부터 생성되는 것만은 아님
EX) LAN에서 MAC주소 사용으로(ARP) 브로드캐스트 생성
트래픽
브로드 캐스트: 1:N 모든 세그먼트에게 데이터를 전송
멀티캐스트: 한 노드에서 일정 노드들에게만 1:N으로 패킷을 전송하는 것
작은 용량의 네트워크 대역폭 이용하여 패킷 전송
유니캐스트: 1:1 직접 전송
스니핑
허브는 동일한 콜리전 도메인 사용으로 스니퍼를 그대로 연결하고 별도의 설정이 필요 없음
스위치: 포트 미러링과 hubbing-out, wamprie tap 사용하여 작업
- 포트미러링: 서버와 스니퍼가 동일한 패킷을 받게 함
- 허빙아웃: 허브에 노드를 묶으면 동일한 콜리전도메인, 동일한 콜리전 도메인은 통신하는 모든 트래픽 수집
- Vampire tap: 스위치와 노드 사이의 케이블에 피복을 벗겨서 노드를 직접 연결하여 트래픽 수집
- ARP poisoing: 라우터의 경우 게이트웨이의 MAC 주소와 HACKER의 MAC 주소를 동일하게하여 트래픽 수집
라우터
게이트웨이 FastEthernet port에서 sub interface fa0/0.1 만들어 스니퍼를 끼우는 방식
게이트웨이 fa0/0과 MAC주소를 스니퍼의 MAC주소와 동일하게 만드는 ARP Poisioning 기법으로 모든 패킷을 스니퍼로 잡은 뒤 타겟 서버의 패킷만 필텅링
Macof attac
가짜 MAC주소를 만들어서 스위치에 넣으면 스위치 프토별로 연결된 호스트의 MAC 주소 정보를 가지고 있는 CAM TABLE 재 기능을 하지 못함
서버는 FAM LOG를 가지고 있음
