네트워크 분석 실무 중간고사 정리

OSI Layer 2: data link layer 데이터 링크 계층

ARP?

- ARP란 네트워크 상에서 IP 주소를 MAC 주소로 대응(bind)시키기 위해 사용되는 프로토콜 = IP -> MAC주소

- 반대로 물리적 주소를 알지만 IP 주소를 모를 때는 RARP를 사용 = MAC주소 -> IP

 

OSI Layer 3: Network Layer 네트워크 계층

IP version 4: IPv4 - 32bit

IP version 6: IPv6 - 128bit

 

OSI Layer4: Transport Layer 프랜스포트 계층 전송 계층

- TCP 와 UDP가 주요 프로토콜. 전송 단위는 세그먼트이다.

 

TCP/IP Layer1: Netwoer Access Layer

- 물리 계층과 데이터 링크 계층에 해당 MAC Address를 사용, 하드웨어 적인 측면을 다룬다.

TCP/IP Layer2: Internet Layer

- 통신 노드 간에 IP 패킷을 전송하는 기능과 라우팅 기능을 담당한다.

- IP, ARP, RARP

TCP/IP Layer3: Transport Layer

- 통신 노드 간의 연결을 제어하고 신뢰성 있는 데이터 전송을 담당한다.

- TCP, UDP

TCP/IP Layer4: Application Layer

- 네트워크 응용 프로그램을 구현할 때 사용된다.

- DNS, FTP, HTTP

 

TCP (Transmission Control Protocol)

- 연결형 서비스를 지원하는 전송계층 프로토콜, 신뢰성 있는 통신을 제공

- 크기, 단위는 Byte

- 체크섬: 데이터의 변조를 확인하기 위한 값, 보낸 값과 받은 값을 비교

 

UDP (User Data Protocol)

- TCP는 양단의 연결을 설정하고 양방향으로 데이터를 전송

- UDP는 연결을 설정하지 않고, 데이터를 받을 준비를 확인하는 단계를 거치지 않고 단방향으로 정보를 전송

장단점

- 신뢰성: UDP는 수신자가 메시지를 수신했는지 확인할 수 없다. 단

- 순서 정렬: UDP는 메시지 도착 순서를 예측할 수 없다. 단

- 부하: 속도가 빠르고 오버헤드가 적다. 장

 

HTTP 통신 방식

2가지의 특징

- 요청 (Request)과 응답 (Response)

- stateless 스테이트리스

각 HTTP 통신은 독립적. 상태를 저장할 필요가 없음, HTTP 통신 간의 진행이나 연결 상태의 처리 저장을 관리 하지 않아도 됨

stateless 구조의 단점

- 매번 요청에 필요한 데이터를 모두 포함해야 함

- 이런 점을 해결 하기 위해서 cookie나 session 등을 사용해 진행관정이나 데이터를 저장

- 쿠키: 웹 사이트에서 보내온 정보를 저장하는 작은 파일, 브라우저(클라이언트)에 저장

- 세션: HTTP 통신에 필요한 데이터를 저장, 웹 서버에 저장

 

HTTP의 구조

요청 라인

- 요청 방식 (Method)

- 요청 URL

- HTTP 버젼

3가지 정보가 요청 라인에 포함되게 되며, 정보간 구분은 공백으로 한다.

 

FTP

- FTP는 TCP/IP를 통해 서버와 클라이언트 사이의 파일 전송을 하기 위한 프로토콜

- TCP 21 port

 

FTP 보안 문제

- 무자별 대입공격(brute force attack), 스푸핑 공격

 

Telnet

- 인터넷이나 LAN에서 사용되는 터미널 에뮬레이션 프로그램을 위한 네트워크 프로토콜

- TCP 23 port

 

SMTP

- 인터넷에서 이메일을 보내기 위해 이용되는 프로토콜

- 모든 문자가 7bit ASCII로 되어 있어야 한다고 규정. 8bit 이상의 코드 언어나 첨부파일 등은 MIME이라는 방식으로 7bit로 변환되어 전달

- SMTP는 명령 문자를 제출하고 필요한 데이터를 신뢰성 있는 데이터 스트림을 통해 제공함으로 메일을 보내는 이가 메일 수신자와 통신하는 연결 지향 텍스트 기반 프로토콜

- TCP 25 port

 

POP3

- POP는 원격 서버로 부터 TCP/IP 연결을 통해 이메일을 가져오는데 사용. 대부분의 웹 메일에서 지원. 원격서버에 접속해서 이메일을 가져온 후 서버에서 이메일을 삭제

- TCP 110 port

IMAP

- IMAP는 원격 서버로 부터 이메일을 가져오는데 사용. 온라인 모두와 오프라인 모드 모두를 지원하여 이메일 메시지를 서버에 남겨 둘 수 있음. 다만 POP3에 비해 IMAP는 메일 서버와 통신 트래픽이 높은 단점이 있음.

- TCP 143 port

 

IDS/ IPS / Firewall

IDS: 침임 탐지 시스템

- 컴퓨터 시스템의 비정상적인 사용 등을 탐지하는 시스템 주로 Application Layer

- 기능: 패킷 및 세션 분석 탐지, 서명 타미, 프로토콜 이상 탐지, 비정상 행위 탐지

- 단점: 공격에 대한 대응 능력 부족, 높은 오 탐지율

IPS: 침임 방지 시스템

- 공격 탐지와 방지의 통합기능 수행 OSI 3~7 계층

- 기능: 패킷 필터링, 시그니처 및 이상 징후 차단, 비정상 행위, 트래픽 탐지&차단 Appliction Layer

Firewall (방화벽): 침임 차단 시스템 

- 기능: IP 필터링, Port 필터링, 접근 제어, 로깅 및 감사 추적, 인증, 기타 파이러스 필터링. Dual DNS, integrity Check OSI 3~4 계층 검사

- 단점: 패킷에서 해더 정보만 검사, 상대적으로 낮은 보안, 내부의 악의적 사용자에 무방지

 

스니핑 (sniffing)

- sniff의 사전적 의미 : 코를 킁킁거리다

- 수동적(Passive) 공격: 공격할 때 아무것도 하지 않아도 충분하기 때문

 

스니핑의 개념

- 도청과 엿듣기가 스니핑

 

프러미스큐어스 모드

- MAC 주소와 IP 주소에 관계 없이 모든 패킷을 스니퍼에게 넘겨주는 것

- 리눅스나 유닉스 등의 운영체제에서는 랜 카드에 대한 모드 설정이 가능

- 원도우에서는 스니핑을 위한 드라이버를 따로 설치

- 스니핑을 하려면 좋은 랜 카드가 필요

스니퍼?: 네트워크 트래픽을 감시하고 분석하는 프로그램

백본망에서 스니핑을 하기 위한 - 바이패스 모드

- 무차별 모드가 필수이고 무차별 모드가 필요 없는 경우도 있다 (해당하는 장비로 바로 오는 경우 필요 없다)

 

허브 스니핑

- Hub 특성상 모든 패킷을 살펴 볼 수 있음.

- Hub는 패킷 충돌이 자주 발생하고 네트워크 혼잡과 충돌이 가중되는 경향

*Hub(L1) - 가까운 거리의 컴퓨터들(노드)를 연결하는 장비

 

스위치 스니핑 (포트 미러링)

- 스위치 명령어 X

- 네트워크 흔적을 남기지 않고 추가적인 패킷을 생성하기 않기 때문에 선호

- 클라이언트를 오프라인 절차 없이 구성할 수 있어서 라우터나 서버 포트룸 미러링할 때 편하다

- 스위치로부터 자원 처리가 필요하며, 높은 처리량 수준과 일치하지 않을 수 있다 

 

허밍 아웃 주의 사항

- 여러 호스트에서 트래픽을 캡처 해야 하는 경우에 충돌 및 패킷 손실 가능성이 있어서 비효율적

 

집계 탭, 비집계 탭을 꼭 써야 하는 경우

- 광섬유 연결에서 트래픽 스니핑을 사용하고자 할 때 유일한 방법

- 안정적이고 높은 처리량

- 지속적인 모니터링에 적합한 솔루션

 

스위치 환경 스니핑 방식 비교

포트 미러링

- 네트워크 흔적을 남기지 않고 추가적인 패킷을 생성하지 않기 때문에 선호

 

허밍 아웃

- 일시적으로 호스트를 오프라인 상태로 만들지 않아도 되는 경우에 이상적

- 여러 호스트에서 트래픽을 캡쳐해야 하는 경우에 충돌 및 패킷 손실 가능성이 있어서 비효율적