[정보 보안] IPv4 Header, TCP Header

[정보 보안] Ethernet Frame과 IPv4 Header 포스팅과 이어지는 내용입니다.

 

흔히 말하는 IP는 IP Address(IP 주소)의 의미가 크지만, 확실하게 구분해야 합니다.

IP (Internet Protocol) 과 IP Address는 분명히 다릅니다.

 

통상적으로 IP라고 부르지만, 정확히는 IP Header 안에 Source Address와 Destination Address 즉,

IP Address가 들어있는 것을 볼 수 있습니다.

간단히 말해서 IP Address는 IP Header 안에 있는 항목입니다.

 

IPv4 Header

IPv4 Header를 보면 맨 처음 " Version "이 4 Bits로 이뤄져있어 IPv4인지 IPv6인지 먼저 판단하게 됩니다.

IHL은 Header Length로, 전체 헤더의 길이를 표시해줍니다.

ToS는 Time Of Service로, IP 프로토콜의 품질을 표시해줍니다.

비연결형인 프로토콜이자 비신뢰성 프로토콜인 IP도 약간은 품질에 대한 제어를 한다는 것을 알 수 있습니다.

 

연결형, 신뢰성에 대한 이야기가 나와서 잠깐 짚고 넘어가겠습니다.

TCP / UDP

TCP는 신뢰성있는 연결형 프로토콜입니다.

UDP는 신뢰성이 없는 비 연결형 프로토콜입니다.

TCP	UDP
연결형	비연결형
신뢰성	비신뢰성

TCP는 3-way Handshake를 사용해서 세션을 연결합니다.

이처럼 3-way Handshake를 사용해서 세션이 확립된 후에 데이터를 주고받기 때문에 연결형 프로토콜입니다.

또한, TCP는 재전송 요구를 합니다. 오류(패킷 손실, 지연, 중복, 순서 역전 등)라고 판단되는 데이터에 대해

재전송 요구를 하기 때문에 신뢰성있는 프로토콜입니다.

 

Tortal Length는 말 그대로 전체 길이를 표시해줍니다.

Identification은 식별자입니다.

[정보 보안] 식별자(Identifier) 포스팅에서 언급한 적 있습니다.

 

DF는 " Don't Fragment ", MF는 " More Fragment "로

DF의 비트값이 1이면 "패킷을 분할(fragment)하지 못한다"라는 의미이고,

MF의 비트값이 1이면 "분할(fragment)된 패킷이 더 있다"라는 의미가 됩니다.

 

Fragment Offset은 데이터가 분할된 상황에서 분할의 시작과 끝을 알려줍니다.

 

이 두번째 필드의 4 Bytes 즉, Identification, DF, MF, Fragment Offset은 중요합니다.

이와 관련한 공격이 IP Fragmentation attack; 패킷 분할 공격 (단편화 공격)입니다.

Ping of Death, Teardrop 등의 공격이 이에 해당합니다.

 

[정보 보안] 서비스 거부(Dos) 공격 포스팅에서 Ping of Death와 Teardrop에 대한 내용을 다룬 적 있습니다.

MTU는 기본적으로 1500 Bytes입니다. (Ethernet의 MTU는 1518 Bytes)

만약 1600 Bytes를 보내게 된다면 필수적으로 분할해야 합니다.

 

간단하게 생각한다면 1500과 100으로 나누고, 100 Bytes에서의 남는 공간은 패딩(Padding)해서 채워 보내게 됩니다.

하지만, MTU값이 1500 Bytes라고 해서 실제 데이터를 1500 Bytes를 보낼 수 없습니다.

 

응용계층에서 내려온 Message는 Encapsulation되어 IP ( 20 Bytes + Option 0 Bytes~ )와 TCP ( 20 Bytes )가 붙기 때문에,

최소 40 Bytes 이상이 붙게 됩니다.

이는 패킷을 캡쳐할 때 데이터의 깊이 (Depth)와 관련이 있습니다.