Ethernet Frame은 아래 그림과 같습니다.
MAC은 48 Bits 즉, 6 Bytes로 이루어져 있습니다.
하지만, 실제 Ethernet Frame을 보면 MAC은 12 Bytes를 차지하고 있습니다.
Destination MAC과 Source MAC 을 가지고 있기 때문입니다.
( IP Address도 4 Bytes이지만, 출발지 IP와 목적지 IP를 갖기 때문에 실제적으로는 8 Bytes인 이유와 같습니다. )
"Ethernet에서 MAC Address의 크기는 얼마인가?" 하고 물어보는 문제에 당연히 6 Bytes라고 생각할 수 있지만,
12 Bytes입니다.
즉, MAC은 Source MAC Address (출발지 MAC 주소) 가 있다면,
Destination MAC Address (목적지 MAC 주소) 또한 존재한다고 간단히 생각하면 됩니다.
이 뿐 아니라 주의해야 할 점은 한 가지가 더 있습니다.
대부분은 Source MAC Address, 출발지 MAC 주소가 우선해서 들어있지만
Ethernet은 Destination MAC Address가 먼저 들어와있는 것입니다.
스위치(Switch)와 라우터(Router)같은 스위칭(Switching)을 하는 장비들은 목적지가 중요하기 때문에,
목적지 주소를 참조하기 위해 맨 먼저 Destination MAC Address가 옵니다.
패킷을 캡쳐할 때는 깊이를 알아야 데이터를 정확하게 캡쳐할 수 있습니다.
이더넷 프레임을 캡쳐할 때 14Bytes만 캡쳐한다면, 이더넷의 헤더만 캡쳐할 뿐 데이터의 내용을 캡쳐할 수 없습니다.
IPv4의 Header는 아래 그림과 같습니다. 각 4Bytes씩 (옵션을 제외한다면) 총 20Bytes가 됩니다.
즉, 2계층에서 어떠한 패킷을 캡쳐한다면 최소한 104 Bytes는 캡쳐해야 데이터를 볼 수 있고,
Ethernet 프레임의 페이로드와 IP헤더의 옵션까지 고려한다면 캡쳐해야 할 깊이는 훨씬 깊어지게 됩니다.
이를 "Deep", 심층 패킷 분석( DPI; Deep Packet Inspection )이라고 합니다.
패킷의 실제 내용(데이터)까지를 검사하고 분석하는 기술을 말합니다.
'[정보 보안] 네트워크 보안' 카테고리의 다른 글
| Time To Live (TTL)과 Ping, 그리고 ICMP (0) | 2022.07.08 |
|---|---|
| [정보 보안] IPv4 Header, TCP Header (0) | 2022.07.07 |
| [정보 보안] 이더넷(Ethernet)과 ARP Header (0) | 2022.07.05 |
| [정보 보안] 식별자(Identifier)_2 (0) | 2022.07.04 |
| [정보 보안] 식별자(Identifier) (0) | 2022.07.03 |