TIL- 방화벽 Attack 공부

kyoungyeon·2023년 7월 5일
0

TIL

목록 보기
71/110

http > tcp 기반으로 만들어진 프로토콜

4계층 (전송계층) ->상위 5 ~7계층 다 비슷한 놈들이다

7계층 에선 하위계층이 다른놈들이다

Q

waf가 어떻게 tcp 공격을 막는건지 이해가 안됨

A

http는 tcp 기반으로 만들어진 프로토콜이고
tcp/ip 계층위에서 동작하다보니 당연히
tcp 특징 갖고 있음

  • 웹방화벽은 웹서버 앞에 위치하여 외부로부터 들어오는 HTTP/HTTPS 트래픽을 감시함

  • 웹 애플리케이션에 대한 악의적인 공격이 탐지되면 해당 공격이 웹 서버에 도달하기 전에 차단하는 역할이 WAF

  • http - ( 4계층에서 봤을때) 연결지향적 7계층에선 비연결적인것임!

  • tcp 특징

    • 3way handshakes, 4way 연결지향적 , 클라이언트는 응답을 받은 후에도 서버와 연결을 유지함
      - TCP : HTTP/1.1, HTTP/2
      - UDP : HTTP/3
      현재 HTTP/1.1 주로 사용한다. HTTP/2, HTTP/3 도 있다
      http 역사

  • Examples

      tcp socket +http 통신 ->
    비동기식으로 연결 변화 - >
     http 프로토콜 지원하는 api , framework 사용! 
     세션유지 바인딩  기능 제공.

  • http 특징

    0 ) 클라언트 서버구조 "handshakes"

    • 클라이언트 서버에 요청후 대기
    • 서버에서 요청결과 응답
    • 구조 분리 (tier)

  • 클라이언트 서버 구조에서 details

    웹 애플리케이션 개발이란?

" 서비스 제공에 필요한 데이터를 수집, 분석, 처리하고, 사용자가 원하는 형태로 데이터를 가공한다 "
"그 결과를 사용자와 상호작용하며 사용자의 웹브라우저에 보여주는"

  • 서버 비즈니스 로직 담당 ->backend
  • UI/UX / 고객 interface -> frontend
    • http를 통해 구조 발전이 이루어졌다..

1 ) stateless

  • 상태가 날아감. 이를 막기위해 cookie, session 토큰, 등을 만드는것임.

2) connetionless

  • 비동기
  • 서버 자원 효율관리
  • 클라이언트 요청 동시 처리
  • 클 => 서버 요청후 응답받으면 tcp/ip 연결 끊어짐
  • 새 요청 handshake 의 경우 시간이 추가됨
  • js, css, img 여러 자원이 한번에 다운로드

차이점

  • tcp : byte Array 정보통신
  • http : Json 형태 String 정보통신
    정해진 형태 규칙에 의거하여 클라이언트 요청에 대한 정보를 제공해주고 연결 끊음
  • tcp socket (양방향) - 규칙 없이 서로 영원히 계속 연결유지

Q

http는 비동기적인가? 동기적인가?

A

둘다되는것 같다

  • 비동기 aixos, Fetch ,jquery
    - promsise (async,await 동기적으로 변환가능)
    detail 필요

  • 비동기하면서 details. 나중에 따로 정리필요

    • axios, fetch차이점

    fetch

  • cors 제어 가능,

  • 오리진 서버 밖 액세스 가능

  • 모던 비동기 처리 방식 promise

  • cache, repeater 정책 설정 가능

  • Cache 는 fetch api 가 제어

  • IE 미지원

axios

  • Prosmise 기반 라이브러리 (ES6)

ajax

  • 비동기 정보교환방식
  • js xml json 등 데이터 오브젝트 이용한 정보교환 방식

FETCH vs AXIOS

  • fetch body - aixos data
  • fetch body - stringfy 적용 / axios data는 object
  • fetch object 요청시 url 불필요/ axiso url 필요
  • fetch request url 파라미터 포함 / aixos request url 불포함
  • fetch request response object ok 프로퍼티 포함시 ok / axios request status 200, status Text= OK가 있어야함 (code)
  • Fetch response object 에 json 함수 호출 json response 받음 / axios response object의 data 프로퍼티를 get 하면 json response 받음 (code)

axios, ajax, code

http 특징

tcp/ http 패킷검사

tcp/http 차이

profile
kyoungyeon
🏠TECH & GOSSIP
이전 포스트

TIL- 정보보안기사 오답 - 2

다음 포스트

TIL - 직무 분석

0개의 댓글