WireShark

WireShark

수집한 패킷들을 따로 저장하고 싶으면 export

merger를 통해 두개의 파일을 합쳐 볼 수 있음

Edit- preferences (환경설정)
-> 레이아웃 변경
-> Capture, Expert, Name Resolution, Protocol

Capture - start

Capture - interface별로 상세설정

Capture filter적용 (tcp) - tcp 패킷 적용

Analyze - enabled Protocol -> 체크가 해제되어있으면 해당 프로토콜은 캡처를 하지않음

Statistics - Protocol Hireical -> 통계들을 확인 가능

Telephony

Destination Port - Apply as column - 컬럼추가

Mac주소 앞에 3개는 - 벤더사를 표시

패킷 우클릭 Mark / UnMark - 패킷에 표시하는 것은 저장할 때에는 안보임

볼 필요 없는 패킷은 - Ignore
Ctrl + D -> 다시 살림

TCP Stream

OSI 7 Layer

• Open system Interconnect의 약어

TCP / IP Model

• ARPANET에 기반한 인터넷 표준도엘에 기반하여 만들어진 계층 프로토콜

Data Encapsulation

※ 헤더 정보를 확인했으 떄, 목적지가 본인이 아닌경우, 더 이상 상위 헤더를 확인하지 않고 데이터 폐기 또는 전달

OSI 7 Layer별 기능

Layer 1 : Physical Layer

• 시스템 간의 물리적 링크를 동작시키거나 유지
• 전기 기계 절차 기능적 측면을 정의
• 단위 : Bit

Layer 2 : Data-link Layer

• 물리적인 연결을 통하여 두 장치간의 신뢰성 있는 전송을 보장
• 물리적인 주소를 지정
• 오류검출, Frame 전달, 흐름제어
• 단위 : Frame

Layer 3 : Network Layer

• 다른 장소에 위치한 두 시스템 간의 연결성과 경로 선택을 제공

• IP주소

• 단위 : 패킷

  Layer 4 : Transport Layer

• 데이터 전송 서비스를 제공

• 통신에 참가하는 개체간의 메시지 전달 책임

• 데이터 흐름제어, 에러 복구, 신뢰성 보장

  Layer 5: Session Layer

• 세션종료

  2.7 Eternet (이더넷)

• 가장 대표적인 버스 구조 방식의 근거리 통신망(LAN)

• 데이터 전달을 위해 CSMA / CD 방식을 사용

• HUB
  - Promiscuous 모드를 이용한 Sniffing 가능

• Ethernet Switch

• 입력 데이터를 지정된 포트로만 Forwarding 한다.

• Collistion Domain은 나누지만 Broadcast Domain은 나누지 못한다.

• Promiscuous 모드를 이용한 Sniffing 불가능

  2.8 CSMA/CD

• LAN 통신 프로토콜 종류중 하나이며, 이더넷 환경에서 사용

• 이더넷 환경에서 통신을 하고 싶은 PC나 서버는 먼저 네트워크 상에서 통신이 일어나는지 확인을 한다.

• 네트워크 통신이 일어나고 있으면 데이터를 보내지 않고 기다린다.

• 네트워크 통신이 일어나고 있지 않으면 데이터를 네트워크 상에 보낸다.

• 만약, 캐리어가 감지되지 않았을 때, 두 PC나 서버가 데이터를 동시에 보내면 이 경우를 Multiple Access이라 한다.

  Switch

  공유기와 비슷함 , ex 공유기의 포트가 4개있을때, 각각 포트 연결을 했을 때 끝자리만 다르게 되있어서 같은 네트워크에 받고
  맥어드레스를 통한 통신

  Router

  네트워크 통신을 할 때 길을 찾아주는 것
  게이트웨이에 특정 ip가 들어가있음
  다른 네트워크를 찾기 위해, Gateway주소로 패킷을 보냄

  Ethernet Frame 구조

  Preamble | Destination | Address | SourceAddress | Type | Data FCS

  ARP(Address Resolution Protocol)

• IP 주소 변환 표준 프로토콜

• IP장비가 통신을 하기위해서는 해당 망에 특화된 2계층 주소를 먼저 알아와야 한다

• IP장비가 통신하는 겨웅 해당 네트워크에서 정의된 2계층 주소를 알아 오기 위한 프로토콜
  -eTHERNET망에서는 MacAddress를 사용
  -ARP는 Request(요청), Reply(응답)으로 구성

  arp -a

  Q1. Network 유형과 상위 Protocol을 확인할 수 있는 header는 무엇이며, Network 유형과 상위 Protocol은 무엇인가?

  Q2. Request와 Reply는 어느 header에서 확인할 수 있는가?

  Q3. ARP Request의 목적지 물리적 주소는?

  Internet Protocol

• OSI 7 Layer 3계층에 해당하는 프로토콜

• TCP / IP 에서 전송을 담당하는 프로토콜

• 신뢰성이 없고, 비 연결 지향적이다.

• IP주소에 따라 네트워크간 전송 경로를 제어한다.

• IP의 Version은 IPv4와 IPv6가 존재

• Router

  • 네트워크 프로토콜의 조세 따라 네트워크간 전송 경로를 제어한다.

  • 라우팅 알고리즘에 의해 최적의 경로를 배정함

  • Broadcast Domain을 분리

    tracert 8.8.8.8 -> 8.8.8.8 까지 어떤 경로를 타고 가는지 알 수 있음

  Q1. No.2 ICMP 패킷의 Type은 11이다. Type 11은 무엇을 뜻하는가?
  Time Exceeded : 시간초과

  Q2. 해당 패킷들을 보고 사용자는 Window상에서 어떠한 동작을 했는지 유추하시오.

  TCP(Transmission Control Protocol)

• 연결지향형 프로토콜

  • 출발지와 목적지간의 연결 설정과정을 통해 연결을 맺은 후 데이터를 전송한다
  • 3-way handshaking과정을 통해 연결을 설정하고 4-way handshaking을 통해 해제한다.

• 데이터의 신뢰성을 제공

  • Sequence Number를 사용하여 데이터를 전달하고 전달할 데이터의 확인을 Acknowledge Number로 확인한다.

• 흐름제어

• 오류제어

TCP Header(Layer 4)

• Source Port

• Destination Port

• Sequence Number

• Acknowledge Number

• Offset

• TCP Flags

• Window

• CheckSum

• Urgent Pointer

• Option

  TCP 4-way handshake

실습
Q1. 각 패킷의 출발지 포트, 목적지 포트, Flag 값을 적으시오.

• No. 1 - Src port :5944 / Dst port: 80 / flag : 0x002
• No. 2 - Src port :80 / Dst port: 5944 / flag : 0x012
• No. 3 - Src port :5944 / Dst port: 80 / flag : 0x010