SK shieldus Rookies 16기 (네트워크 보안 #01)

만두다섯개·2023년 11월 13일
클라우드클라우드보안
0

SK 루키즈 16기

목록 보기
16/52

주요 정보

  • 교육 과정명 : 클라우드기반 스마트융합보안 과정 16기
  • 교육 회차 정보 : '23. 11. 13. 네트워크 보안 #01

첨언

  • 크롬은 웹 클라이언트용 프로그램이라고 한다.
  • 아파치는 웹 서버용 프로그램
  • 공격유형 4가지 : 시스템 해킹, 웹 해킹, 앱 해킹, 네트워크 해킹
  • 시스템 해킹 : 커널 공격으로 권한 탈취 목적
  • 원격으로 해킹 존재, 이를 네트워크 해킹이라고 한다.
  • 보안 관제는 공격 유형 모두를 알고 있어야 한다.
  • 중계층(1~3계층 기능만 사용가능), 사용기능(1~7계층 기능 사용 가능)
  • 중구역과 사용구역 차이는 전송 속도 저하(모든 장비가 7계층 기능을 사용 시, 모든 계층에서의 데이터 점검해야 한다)로 최소한의 기능만 사용하는 것이다.
  • 강의자료[01. 네트워크개요], [02. OSI참조모델] - 정리 완료, 추후 보완 예정.

무엇을 깨달았나

  • 네트워크 흐름
  • OSI 참조모델 소개

참고사항

  • 네트워크 보안 과목은 하루에 한 강의자료를 정리한다. (추후 보완한다)
  • 강의자료[01. 네트워크개요] - 자료 정리
  • 강의자료[02. OSI참조모델] - 자료 정리

0.1 네트워크 개요

#1_네트워크 주소

  1. IP 주소
  2. MAC 주소
  3. FQDN 주소
  4. 포트 번호

1. 논리적 주소(IP 주소)

  • 3계층 주소, 네트워크 계층 at OSI 7 Layer
  • 논리적 주소에는 두가지 종류의 ID로 구성된다.
  • IP 주소(네트워크 ID + 호스트 ID)
  • 서브넷 마스크 기능이란? IP 주소의 네트워크, 호스트 ID를 구분한다.
  • IP 주소 & 서브넷 마스크 => 네트워크 ID
  • IP 주소 : 192.168.1.10 => 192.168.1.0 망의 10번째 PC이다.

내부망과 외부망

  • 같은 네트워크 ID를 사용한다 = 내부망이다. (192.168.1.0 VS 192.168.1.0)
  • 송,수신자가 다른 네트워크 ID를 사용한다 = 외부망이다 (192.168.1.0 VS 192.168.5.0)

2. 물리적 주소(MAC 주소)

  • 2계층 주소, 데이터 링크 계층 at OSI 7 Layer
  • NIC, Ethernet Card에 부여된 2계층 주소를 물리적 주소라고 한다.
  • MAC 주소는 16진수 표현으로 사용
  • 제조회사 식별번호 + 카드 일련번호로 구성된다.

3. FQDN 주소

  • 7계층 주소, 애플리케이션 계층 at OSI 7 Layer
  • 문자주소 (www.naver.com)
  • 호스트 네임 + 도메인 네임으로 구성된다.(호스트 이름이 앞에 온다)
  • 보통 호스트명을 프로토콜 명으로 지정한다. (www.test.com 이면 www를 보고 www 사용하는구나 하고 이름을 준다.)
  • 일반적으로 사용하는 프로토콜(기능)을 호스트명으로 사용한다. (기능의 명시)
  • 항상 호스트 네임이 앞에 오는 것은 아니다. (예시 : 티스토리 FQDN 주소는 계정이 앞에온다.)

MAC/IP/FQDN 주소 호칭

  • 서버는 클라이언트의 서비스 대상으로, 클라이언트가 서버에게 요청을 먼저 한다.
  • 클라이언트는 서버를 호출 시 사용가능 주소는 3개, 클라이언트는 2개가 있다.

  • 기계주소 3333.4444.55555(16진수체계) 호출-> 문자주소(192.168.1.20) ->www.test.com
  • 웹 서버에서는 FQDN 주소는 인지도를 높이기 위해 보통사용(고객 유치 목적), 그러나 웹 클라이언트에서 보통 사용하지 않는다. (주소 사용시 별도 도메인 이름 비용을 지불 필요)

DNS & ARP 프로토콜

  • DNS 란? 문자 주소를 기반으로 IP주소를 조회한다. (반대도 가능)
  • ARP 란? IP주소를 기반으로 MAC 주소 조회한다.
  • 그러나, 문자 주소를 바로 MAC 주소로 조회하는 프로토콜은 없다.
  • RARP 란? MAC 주소를 기반으로 IP를 조회한다.
  • HTTP 웹 서버-클라이언트 사용 관계에서는 백그라운드 주소를 필수로 사용하기 때문에 해당 프로토콜의 취약점을 악용한다.

4. 포트 번호

  • 포트번호는 4계층 주소라고 부른다.

  • 각 프로그램 포트를 할당한다, 0번 ~ 65535번까지, (단 0번은 사용하지 않는다, 비사용 권고)

  • Well-known, registered port, dynamic 포트 종류로 나뉜다.

  • Well-known port 은 웹 서버용 프로그램에 부착된다. ( 1 ~ 1023 )

  • registered port는 IANA에서 포트번호를 관리한다. 신규 프로그램 생성 시, 임의의 포트를 할당받는다. (public, private 종류, 1024 ~ 49151 )

  • Dynamic port 웹 클라이언트에 할당된다. ( 49152 ~ 65535 )

  • 왜 포트 번호를 4계층 주소로 사용하는가?
    외부에서 온 데이터가 컴퓨터에 전달 시, IP 주소만 사용한다. 이는 아파트 동 앞에 치킨이 배달이 왔지만 어느 호실로 배달할지 모른다. (한 컴퓨터 안에서도 여러 주소가 존재가능) 따라서, IP주소와 함께 포트 번호를 할당하는 것이다

  • 어떻게 서버의 포트를 알고 트래픽을 전송할 수 있을까?
    웹 서버들의 Well-known 포트를, 클라이언트가 미리 알고있는 목록을 참고해 전송한다.

  • C:\Windows\System32\drivers\etc 는 프로토콜 사용하는 포트를 지정하고 있다.

  • http://200.10.01.1:5000 입력(수동)한다면, 해당 파일을 참고해 포트 번호를 할당하기보다, 입력된 포트를 우선 한다. 만약 포트를 지정하지 않는다면, (http://200.10.01.1) 파일로부터 포트를 가져와 사용한다.
  • 만약, 기존 사용하는 포트가 아닌 다른 포트를 사용한다면, 클라이언트에게 공지해야 한다. !

  • 웹 브라우저에서 만약 http://200.10.01.1:5000 접속을 [X] 버튼으로 끈다면, 웹 서버는 해당 포트를 회수한 후, 다른 접속요청에 해당 포트를 할당. 이를 동적포트라고 한다. 반대로 웹 서버가 사용하는 포트처럼 정적으로 사용하는 것을 정적 포트라고 한다.

#2_전송 모드

  • Unicast (1: 1)
  • Broadcast(불특정다수 1 : m)
  • Multicast(특정다수 1 : n)

Unicast 전송모드

  • 컴퓨터는 데이터를 등기로 보낸다. (등기는 항상 받는사람 + 보내는 사람 기재 필요)
  • Unicast 전송모드에서 데이터를 전송 할 때는 반드시, 전송데이터 + L4, L3, L2 주소 기재해야 한다. (MAC -> IP -> Port 순으로 보낸다.)
  • 수신지 MAC, 송신지 MAC, 송신지 IP, 수신지 IP, 송신지 Port, 수신지 Port, 전송 데이터 순으로 보낸다.
    1. 웹 페이지 생성 순간부터 송신지 Port 가 지정된다. (OS가 지정된다)
    2. 웹 서버에 접속한 순간 http://www를 확인하고 디폴트 포트를 확인해 수신지 Posrt를 지정한다.
    3. 텍스트 주소만을 알고 있다. (www.test.com)
    4. 수신지 IP, 수신지 MAC을 모르는 상황이기 때문에, DNS로부터 수신지의 IP를 알려준다. 문자주소 -> IP 주소 확인한다
    5. 수신지의 IP를 가지고 ARP사용해 수신지의 MAC 주소를 확인한다

Broadcast 전송모드

  • 그림은 OS가 시스템 운영목적에 사용하기 위한 브로드캐스트 주소이다.
  • 시스템 운영(OS), 프로토콜, 특정 애플리케이션 운영을 위해 사용되는 가상주소이다.
  • OS 설치 시, 브로드캐스트 주소 할당된다.
  • 브로드 캐스트 전송모드에서 사용하는 주소는 종류 2종류가 존재한다. 로컬 브로드캐스트 주소와, 다이렉트 브로드캐스트 주소가 있다. (MAC 주소대역은 1개만 사용하고 있다)
  • BIP : 255.255.255.255 는 로컬 브로드캐스트, 192.168.1.255 은 다이렉트 브로드캐스트 주소
  • 로컬 브로드캐스트: 망 밖으로 나갈 수 없다.
  • 다이렉트 브로드캐스트 : 망 밖으로 나갈 수 있다. (예외적)
  • Bradcast IP 주소 (BIP) : 255.255.255.255 / Bradcast MAC 주소(BMAC): FFFF:FFFF:FFFF:
  • DHCP 프로토콜은 대표적인 Broadcast 프로토콜 주소이다. 67, 68번 사용한다. 만약 DHCP 프로토콜 사용 시, 송 수신 Port 지정되고, 이어서 수신지의 IP 지정되고, 이후에 수신지의 MAC 주소가 지정된다.
  • Broadcast 전송모드에서는 DNS, ARP 의 도움을 받지 않는다.
  • 수신지에 브로드캐스트 패킷이 있다면, 브로드캐스트 방식을 사용한다고 알 수 있다.
  • OS 에 상관없이, OS 설치 시 컴퓨터에는 브로드캐스트 주소가 할당된다
  • BIP, BMAC 먼저 할당 이후 IP, MAC 할당된다.
브로드캐스트 전송은 수신지 MAC 주소의 C주소 까지 일치하는 송신지의 BMAC에게 브로드캐스트 패킷을 전송한다.

Multicast 전송모드

  • 그림은 OS가 시스템 운영목적에 사용하기 위한 멀티캐스트 주소이다.
  • 가상주소를 사용한다.
  • OS 설치 시 할당 된다.
  • 멀티캐스트 IP주소 범위 할당(224-239.X.X.X, 230.1.1.1 은 멀티캐스트 주소이다.)
  • 특정 IP(멀티캐스트 IP를 가진)에게만 멀티캐스트 패킷을 전송한다.
  • IP 관점에서 멀티캐스트 설명한다. 그러나, 멀티캐스트 전송모드에서 IP만을 사용하지 않는다.
  • MIP : 224~239 사용한다, 그러면 MMAC 필요하다.

  • MMAC 은 제조회사가 들어가지만, 가상주소이기 때문에 제조회사가 들어가지 않는다. 0100.5E.XX.XXXX 로 지정 되어있다. 나머지 XX.XXXX는? 멀티캐스트 IP(MIP)로부터 만들어 진다.
  • MIP의 154:65;50 은 10진수, MMAC은 16진수이므로
    1. 10진수를 2진수로 변환
    2. 2진수를 ???개로 변환한다.
  • 0100.5E.XX.XXXX를 사용하더라도, 멀티캐스트 주소가 아닐 수 있다. 왜냐하면 25번째 비트가 0이 되어야 하기 때문이다.
  • 수신지 MAC을 보고 멀티캐스트 주소를 확인하지만, 위 문장에서처럼 0100.5E.XX.XXXX 이라도 멀티캐스트 주소가 아닐 수 있기 때문에, 수신지 IP를 보고 결정하면 안전하다.

하나의 컴퓨터를 온전히 사용하기 위해서는 한 주소가 아니라

유니, 브로드 멀티 캐스트의 주소를 가지고 있어야 한다.

  • 시스템 운영을 위해 멀티캐스트 기본 주소는 가지고 있다. (cmd 정적 주소 참고)

  • 브로드, 멀티캐스트 주소는 수신용으로 사용한다.

  • 브로드, 멀티캐스트 주소방식은 DNS, ARP 프로토콜의 도움을 받지 않고 자동변환한다.

ARP

  • Address Resolution Protocol 이란? IP 주소에 대응되는 MAC 주소를 변환하는 서비스
  • ARP 패킷 종류 : ARP 요청 패킷, ARP 응답 패킷
  • ARP 요청 패킷 : 송신자가 수신지의 MAC 주소 조회 목적으로 브로드캐스트 방식으로 운영한다. 송신자의 브로드캐스트 주소 정보를 담고 있다) 만약 요청하는 정보에 해당하는 수신측에서는 ARP 응답을 전송한다
  • ARP 응답 : 유니캐스트 방식으로 운영한다.
  • ARP 응답이 오면, 연결이 된다. 이후 매 연결마다(전원 off 후에도) 기억하기 위해 ARP 캐시 테이블에 해당 내용을 기록한다. (arp –a 정적 테이블)

DNS 캐시 테이블 조회 명령어

powershell에서 ipconfig / displaydns 입력시 , DNS 캐시 테이블 조회 가능

#3_계층별 장비

  • Switch, Router, Hub

장비에서의 사용 기능

( 해당 설명에서의 포트 : 4계층 포트가 아닌, 물리적 포트를 의미한다.)
( 유니캐스트 방법으로 전송했다. -> 장비 관점에서의 전송 방식을 포워딩, 플러딩 방식. )
1. Fowarding : 하나의 송신지 포트에서 하나의 수신지 포트로 트래픽 전송, MAT에 목적지 정보가 있는 경우.
2. Flooding : 송신지 포트를 제외 나머지 포트들로 트래픽 전송, MAT에 목적지 정보가 없는 경우.

Switch

  • 2계층 장비 中 대표적인 장비
  • 2계층 장비 -> 2계층 주소 : MAC 주소 사용한다.
  • 경로 DB를 MAC 주소 Table이라고 한다.
  • MAC 주소 테이블에는 목적지-출구번호로 구성된다.
  • 경로를 지정하지 않는다면, 해당 폐킷을 스위치에서는 통과시킨다(플로딩) (목적지가 없으니 패킷이 목적지로 가거나, 반환되지 않는다)

경로 DB에는 브로드/멀티캐스트 주소를 등록하지 않는다.

브로드/멀티캐스트 방식으로 수신자 MAC 주소로 스위치 장비를 사용한다면, 목적지 정보가 없으므로 플러딩 방식으로 전송한다.

Router

  • 3계층 장비 中 대표적인 장비 (멀티 계층 장비, 라우터 등..)
  • 경로 DB를 Rounting Table로 부른다.
  • 3계층 장비와 컴퓨터 사이에는 2계층 장비(스위치 등)이 존재해 보통 그룹 주소를 Routing Table에서 사용한다.
  • 만약 Rounting Table에 전송하려는 목적지/출구번호가 없다면, 해당 패킷을 폐기시킨다.
  • Rounting Table에 목적지 정보가 있으면 포워딩, 없으면 폐기한다(Drop)
  • 브로드/멀티캐스트 주소를 기록하지 않는다. 따라서 해당 주소들을 사용한다면, 폐기한다.

Gateway

  • Gateway란? 망과 망을 연결시켜주는 중계장비
  • 중계 장비 예시 :라우터, 멀티 레이어 스위치, 게이트웨이(방화벽이 게이트웨이름 으로 나온다)
  • 망이란? 192.168.1.10 은 192.168.1.0 대역 / 192.168.3.1 은 192.168.3.0 대역이다. 이 두 다른 대역 == 망 존재. 서로다른 망을 연결하기 위해 게이트웨이 장비 2개를 사용하는 것이다.

  • 게이트웨이 장비는 어떤 3계층 이상의 장비다.
  • 게이트웨이 장비는 내부 망을 사용한다. 외부 대역을 사용하면, 외부 망으로 인식되기 때문

Hub

  • 1계층 장비
  • 더미허브라고도 부른다.
  • 1계층 주소는 없다. 따라서 기준이 되는 경로 DB도 없다.
  • 더미허브는 플러딩 방식을 사용한다

Media Translation

  • 3계층 이상의 장비에서 처리한다.
  • Media Translation작업이란? 전송 과정에서 3계층 주소는 변환이 없으나, 2계층 주소는 스위칭 환경에 따라 변환된다. 이런 변환 과정을 처리해주는 작업이다.
  • ARP 요청은 스위치에서 플로딩 되어 밖으로 나갈 수 있지만, 라우터에서는 ARP 요청이 브로드캐스트 주소를 사용하기 때문에 ( == 목적지 정하지 않는다) 해당 요청(패킷)을 폐기한다. 따라서 목적지 MAC 주소를 실제 목적지 MAC 주소를 사용하지 않는다.
  • 내부망에서만 작업이 진행된다면, 라우터가 필요하지 않다.
  • 목적지 MAC 주소를 내부망의 MAC 주소로 설정한다.
  • 컴퓨터의 주소를 설정 시, 게이트웨이 주소를 설정한다. 이는 외부망과의 전송을 위한 설정인 것이다.
  • L3 : IP 주소는 산업표준주소이다. 어느 밴드에서도 통용된다.
  • L2 : MAC 주소 비산업표준주소이다. 특정 밴드에서만 통용된다.
  • LAN은 2계층 계열이다. 아래 그림에선 3개의 LAN 사용한다.

ping 명령어 패킷 종류

  1. echo-request 패킷
  2. echo-reply 패킷
  • 지연시간, RTT(round trip time)은 time 으로 reply 패킷에서 나온다.
  • ping 명령어 마지막의 maximum, average, 등 확인 필요

실습

  • 컴퓨터 내부에서 외부망의 IP 기록하지 않는다. ARP 캐시 테이블에는 게이트웨이 주소를 가지고 있다.
  • 스위치는 스위치를 통과하는 데이터의 송신지 MAC 주소를 기반으로 MAC Address Table 등록한다.
  • DNS Table = 도메인 주소 : IP 주소
  • ARP Table = IP 주소 : MAC 주소
  • MAC Address Table = MAC Address : 출구번호
request time out
  • ping 명령어의 echo-request 패킷을 보낼 때 제한 시간을 설정한다.
  • 만약, request tiem out 발생 시, 두 가지 경우이다.
    1. 패킷 전송 시 설정한 시간을 초과해 패킷을 받음
    2. 패킷 전송 시 설정한 패킷을 받지 못했다.
  • 게이트웨이의 ARP Table에 매칭되는 항목이 없어 폐기되어 나타나는 메시지

#4 트래픽 흐름

  • 내부망 트래픽 흐름, 외부망 트래픽 흐름

내부망 트래픽 흐름

  • 어떻게 하면 www.naver.com 도메인 주소를 가지고 수신지 IP, 수신지 MAC 주소를 알 수 있을까?
  • 아래 단계들의 주체는 어디인가? OS이다.
    1단계. DNS를 이용해 수신지 IP 주소 조회
    1. DNS 캐시 조회 (C:>ipconfig\disaplydns)
    2. Host.txt 파일 조회 (\windows\system32\drivers\etc\hosts)
    3. DNS 서버 이용
    2단계. 송신자 서브넷 마스크를 사용해 수신지 IP 주소로부터 네트워크 ID 동일여부 확인
    3단계. 수신지의 MAC 주소 소회
    1. ARP 캐시 조회
    2. ARP Request/Replay 이용
    4단계. 수신지로 트래픽 전송

외부망 트래픽 흐름

1단계. 2단계. (내부망 동일)
3단계. GateWay의 MAC 주소 조회
1. ARP 캐시 조회
2. ARP Request/Reply 전송
4단계. Media Translation 방법으로 수신지로 트래픽 전송

#1_네트워크 주소 복습문제

0.2 OSI 참조모델

  • ISO에서 규정한 OSI 모델이란? Open System Interconnection, 원격 접속이 가능한 시스템(개방형시스템), 상호 원격접속 가능하다.
  • 원격 접속을 차단한 시스템(폐쇄형 시스템)
  • 네트워크의 여러 기능을 7가지 계층으로 나누어 식별한다.
  • 숫자가 커질수록 상위 계층이라고 한다. (상위 4계층, 하위 3계층으로도 나눈다)

#1_OSI 7계층

7계층_Application Layer

  • UI를 통해 데이터 생성
  • 대다수 사용자 인지하는 계층은 7계층이다.
  • HTTP UI 폼 결정으로 인해 대부분의 웹 브라우저 형식이 비슷하다.

6계층_Presentation Layer

  • Code 변환(부호화, encoding : 이진화 작업) (ASCII, UNICODE, BCD 등..)
  • 압축 : 상위 계층에서 보낸 데이터의 크기를 줄인다. (이미지 파일 등) (PNG, bmp, zip)
  • 암호화

5계층_Session Layer

  • 지속적 인증 : 처음 연결했던 사용자가 연결 중에도 계속 사용자임을 인증하는 과정
    1. 오프라인에서 상담사가 피상담자의 신원을 확인(목소리), 온라인에서는 불가능하므로 지속적 인증으로 사용자의 신원을 확인하는 것
    2. stateless 상태에서는 서비스마다 인증이 필요하다( ID/PASSWORD 입력 필요)
    3. 그러나 클라이언트-서버의 5계층에서는 세션값, 쿠키값을 사용해 인증한다. 서비스의 유지
  • 서비스 개시, 유지, 해지
    1. 서비스 개시 : 인증
    2. 서비스 유지 : 지속적 인증 과정으로 서비스 유지
    3. 세션값(인증 값) 만료 후 서비스 종료
  • 가상회선 설정이란? 사용하려는 서버와 서비스가 사용 가능 상태라는 것.

4계층_Transport Layer

  • 전송하려는 목적지에 대한 정보를 확인하는 계층
  • End to End 호스트 간 (양단간) 가상회선 설정한다. (설정, 유지, 해지)

TCP, UDP

  • 3-way-handshake
  • 클라이언트-서버 간 연결 설정 확인 과정.

3계층_Network Layer

  • Routing : 최적 경로 설정
  • 데이터 전달(포워딩, forwarding 은 포워딩, 플로딩 방식 전달 방식이 존재한다)
  • 오류 제어 : 데이터 수신측에서 데이터의 무결성 확인 / 송신측에서는 원본데이터+ 오류검출 코드 사용한다
  • 매체 접근 제어(Media access control):
    1. LAN이란? 한 장비에 대해 여러 호스트가 공유해서 사용한다.
    2. 충돌 발생 가능 및 LAN 구간에서의 충돌 발생(동일 시간, 장비 동시 접근 원인)
    3. 따라서 충돌 방지를 위해 매체 접근 제어가 필요하다. 즉, (공유)매체 접근 제어이다.

CSMA/CD 란?

  • Carrier Sense Multiple Access/Collision Detection : 이더넷에서 장치가 매체에 접속하는 것을 관리하는 방법
  • Ethernet card 로 한 지역안에 ethernet lan이 생성된다.해당 Lan에서의 관리 방법.

1계층_Physical Layer

  • 전기적, 기계적, 기능적 절차적인 수단을 제공한다.

두 모델에서 사용가능 공통 기능

Payload

  • 물리 계층 제외(데이터 형식 bit 단위) 나머지 계층에서 사용하는 PDU는 계층에서 사용하는 [ 헤더 ] + [ 원본 데이터 ]로 구성된다.
  • 상위 계층에서 하위 계층으로 넘겨줄 때 현재 계층에서 헤더를 부착해 다음 계층으로 넘겨준다.
  • 하위 계층에서 상위 계층으로 넘겨줄 때 현재 계층에서 헤더를 제외하고 사용한다.
  • 각 계층에서 [ 원본 데이터 ]는 payload 라고 한다.
  • payload 는 계층마다 이전의 상위 [ payload + 헤더 ]로 구성된다.

Encapsulation

  • 통신에 필요한 제어 정보 : Header, Trailer 존재
  • Header : 원본 데이터 앞 제어 정보
  • Trailer : 원본 데이터 뒤 붙는 제어 정보
  • 캡슐화란, 상위 계층에서 하위 계층으로 넘겨줄 때 해당 [ payload + 헤더 ] 구성으로 넘겨주는 것을 의미한다.
  • 역 캡슐화란, 하위 계층에서 상위 계층으로 넘겨받을 때 하위 계층에서 사용한 [ 헤더 ]를 제거하고 주는 것을 의미한다. (말 그대로 캡슐화의 반대 개념이다.)

#3_TCP/IP 통신 모델

  • 인터넷==공공 네트워크이다. 일반 사용자들은 비독점적 프로토콜을 사용한다.
  • 독점적 프로토콜 : 특정 밴더 사 통신모델(Vendor-Specific Protocols), 타 프로토콜 호환 불가
  • 비독점적 프로토콜 : Open Protocols, 학교 및 연구기관에 의해 개발, 이종 장비 간 통신 가능. TCP/IP 프로토콜이 비독점적 프로토콜에 해당.
  • OSI 7계층 모델 : 학자들의 통신모델 / TCP/IP 모델 : OSI 7계층을 간소화시킨 것.
  • 간소화 시킨 모델을 실제로 구현사항이 웹 브라우저 / TCP/IP Protocol / Ethernet 이다.

  • 컴퓨터는 1~7계층을 사용 장비이다.(7~5 : 웹 브라우저, 4~3: OS, 2~1 : LAN 카드)
  • LAN 카드에는 하드웨어만 있는 1계층만 사용하는 장비가 아닌가요? 아니다, CSMA/CD 기능, 등 2계층 기능을 사용하는 2계층 장비입니다.

#4_스니핑 환경 구성

  • 리눅스, MS-Window에서 패킷 수집은 TCPdump, TShark로 하지만, 패킷 분석은 와이어샤크를 사용한다. 와이어샤크는 주로 패킷분석 용도
  • A -> B로 가는 패킷을 C라는 주소를 가진 도청자가 도청하려면, 해당 패킷이 C에게 오는 것이 아니기 때문에 폐기된다. 따라서 무차별 모드를 설정해 모든 패킷을 수신한다.
  • TCP/IP 모델 계층 2~3 계층의 제한을 해제한다. (Promiscuious Mode Lan Card)

무차별 모드 설정 및 와이어샤크 기초

무차별 모드란?

  • 데이터 링크 계층과 네트워크 계층 주소 필터링 해제한 모드이다.
  • 주소 지정 상관없이 호스트 프로세서에 모든 패킷을 전달한다.
  • 패킷이 CPU에 전달되면, 분석을 위해 패킷 스니핑 애플리케이션에 넘겨진다.
  • 리눅스 : ifconfig eth0 promisc 설정 / 윈도우 : wincap /npcap
  • 와이어 샤크 설치한다.

  • 와이어샤크 실행 시, 캡쳐 가능한 목록이 나온다.(로컬 영역 연결 : 연결 프로세스이다)
  • 목록에서의 신호: spark line 이라고 한다.
  • 패킷 수집 : 와이어샤크 패킷 저장 – 빨간색 일시정지 – file – Export Specified Packets – 저장

  • 와이어 샤크 구성 및 구성 표기 변경 : view - Packet List(중앙 상단), Packet Details(좌측 하단), Packet Bytes(우측 하단) 클릭시 해당 내용 제외 또는 표시 가능.
  • 와이어 샤크 패킷 내 [ ] 항목은 원본 데이터에 데이터를 추가시켜 놓은 것. 즉 메타정보를 의미한다.
  • 패킷의 세부 내용의 맨 윗줄은 없는걸로 친다. 왜 그럴까? 1계층은 전기 신호이기때문에....보여줄 수 없음. 5줄이면 데이터는 3줄이 있이다.

Packet Sniffing 환경

  • 네트워크 장비 종류에 따라 스니핑 환경이 달라진다.

허브 환경에서의 스니핑

  • 허브는 1계층 장비로, 플러딩 방식으로 패킷을 전송한다.

스위치 환경에서의 스니핑

  • 스위치 장비는 브로드캐스트, 멀티캐스트 패킷을 제어하지 못하기 때문에 처음에 장비를 켜면 굉장히 많은 ARP 패킷이 들어온다.
  • 스위치 환경에서는 관제범위가 좁기 때문에 관제 영역을 넓히는 방법을 사용한다.
  • 관제 영역 확장 방법 : 포트 미러링, 허빙 아웃, 탭 이용방식이 있다.

Packet Sniffing 관제 영역 확장 방법

포트 미러링

  • 포트 미러링이란? 관대 대상과 연결된 스위치 설정으로 관제자의 장비에게 해당 패킷을 받는다.
  • 스위치 담당자가 작업한다.
  • 같은 스위치 내 (관제대상, 관제사) 관제 가능.
  • 다른 스위치 (관제대상, 관제사) 관제 가능.

허빙 아웃

  • 허빙 아웃이란? Hubbing out은 스위치 아래 허브를 연결해 관제대상을 관제한다

탭 사용

  • aggregated tap (집계 탭) 사용한다.
  • tap 이라는 장비는 3개의 포트로만 구성된 장비다.
  • 3개 포트 이상의 사용을 위해 Network TAP라는 장비 사용. 해당 장비는 여러 관제 대상으로부터 관제자에게 보내준다.
profile
만두다섯개
磨斧爲針
이전 포스트

HTTP Only Flag 설정

다음 포스트

SK shieldus Rookies 16기 (네트워크 보안 #02)

0개의 댓글