와이어샤크 - 1. 패킷 분석 기초

roon-replica·2022년 8월 28일
networkwireshark
1

network

목록 보기
1/7
  • 참고 자료: 와이어샤크를 활용한 실전 패킷 분석 3/e (에이콘 출판)

개요

  • 네트워크 문제를 잘 이해하려면 패킷 레벨을 잘 알아야 한다고 함.
    모든 네트워크 문제는 패킷 레벨에서 일어나기 때문.
    패킷 레벨은 아무것도 숨기지 않기 때문에 암호화된 것 외에 비밀은 없다고 함.

패킷 분석

패킷 스니퍼

  • 패킷 분석은 일반적으로 패킷 스니퍼로 수행된다고 함.
    네트워크 데이터를 캡처하는데 패킷 스니퍼를 사용한다고 함.
    tcpdump, wireshark 등의 도구가 있다.

패킷 스니퍼 동작 방식

  1. 수집
    원시 2진 데이터를 수집한다고 함.
    네트워크 카드는 주소가 지정여부와 상관없이? 모든 트래픽을 수신할 수 있다고 함..
  2. 변환
    캡처된 2진 데이터를 읽을 수 있는 형식?으로 변환
  3. 분석
    캡처되고 변환된 데이터를 분석..

컴퓨터 통신

protocol

TCP, IP, ARP, DHCP 같은 의사소통 규약들을 의미.
프로토콜은 연결 초기 설정, 연결 협상, 데이터 형식, 오류 감지 및 수정, 연결 종료 문제들을 해결한다고 함.

OSI 7계층 모델

프로토콜은 OSI 참조 모델을 기반으로 기능?에 따라 분리된다고 함.

  • application

  • presentation
    데이터의 인코딩, 디코딩

  • session

  • transport
    신뢰성

  • network
    호스트의 논리적 주소인 IP주소로 데이터 라우팅.

  • datalink
    물리적 장치(mac주소) 식별.
    bridge, switch

  • physical
    물리적 매체

OSI 모델을 통한 데이터 흐름

  • 응용 ~ 물리 계층으로 내려갔다가 물리~응용 계층으로 올라가는 흐름.
  • 각 계층은 인접한 계층과만 통신한다
  • 각 게층에서 제공하는 프로토콜 서비스는 상호 의존적이지 않다고 함..

데이터 캡슐화

  • 서로 다른 계층에 있는 프로토콜은 데이터를 캡슐화해서 전달한다.
  • bit, frame, packet, segment, data

네트워크 하드웨어

  • 허브
    물리 계층에서 동작하는 중계 장치.
    허브는 패킷을 받아 허브에 연결된 모든 컴퓨터로 전송. (브로드캐스팅)
    전송된 패킷을 수락하거나 거부하는건 수신 장치에 달려 있다고 함.
    수신측은 패킷의 이더넷 헤더의 MAC 주소를 검사해 해당 패킷이 자신의 것인지 판단한다고 함.
    요즘엔 허브 대신 스위치가 사용된다고 함.

  • 스위치
    고밀도? 네트워크에서 허브의 가장 좋은 대안이라고 함.
    허브와 마찬가지로 패킷을 전송.
    허브와 달리 지정한 컴퓨터에게만 패킷을 보낸다.
    스위치는 mac주소 기반으로 장치 식별함. 즉, 데이터링크 계층에서 동작함.( = 같은 네트워크 내의 통신)
    패킷을 전송할 포트를 결정하기 위해 테이블에 (맥주소, 포트)를 저장해둔다고 함.

  • 라우터
    네트워크 계층에서 동작.
    패킷을 다른 네트워크로 라우팅.(다른 네트워크 = 다른 LAN?)

트래픽 분류

  • 네트워크 트래픽은 브로드캐스트, 멀티캐스트, 유니캐스트 3가지로 분류한다고 함.

broadcast

  • 브로드캐스트 패킷은 네트워크 세그먼트의 모든 포트로 전송되는 패킷이라고 함.
  • 데이터링크 계층에서 ff:ff:ff:ff:ff:ff인 MAC 주소가 브로드캐스트 주소.
  • 브로드캐스트 도메인
    브로드캐스트 패킷이 이동할 수 있는 범위 (라우터를 거치지 않고)

multicast

  • 단일 발신지에서 여러 목적지로 동시에 패킷을 전송하는 수단.
  • 멀티캐스팅의 목적은 가능한 적은 대역폭을 사용하는 것이다??

unicast

  • 한 컴퓨터에서 다른 컴퓨터로 직접 전송.

질문들

  • 패킷 분석으로 네트워크 특성, 네트워크 사용자, 사용 피크타임, 안전하지 않은 애플리케이션 어떻게 알아냄?

  • OSI 약자
    Open Systems Interconnection Reference Model.
    ISO에서 권장하는 표준일 뿐 프로토콜 개발자가 꼭 따라야하는건 아니라고 함.
    TCP/IP 모델이 더 선호된다고 함.

  • OSI가 기능에 따라 분리된다는 게 정확히 어떤 의미?

  • application 계층이 최종 사용자가 볼 수 있는 유일한 계층?

  • presentation 계층에서 데이터의 인코딩, 디코딩이 정확히 뭔지

  • bridge, switch가 정확히 뭐하는거더라?

  • half-duplex(반이중) mode이 뭐더라

  • MAC 주소 (Media Access Control address) 무슨 의미인지 정확히 모름
    하드웨어 생산 시점?에 정해진다는 건 아는데
    왜 저런 명칭으로 불리는지..

  • 서브넷 마스크가 정확히 뭐더라..
    네트워크 범위 결정짓는거였던거 같은데

profile
roon-replica
집중 ➝ 프로세서↑ 시간 투자 ➝ 디스크↑
다음 포스트

와이어샤크 - 2. network tapping

0개의 댓글