공부

지난 포스팅 (Time To Live (TTL)과 Ping, 그리고 ICMP) 에서 CMD로 Ping을 돌려봤습니다. Windows에서 ping은 디폴트로 패킷을 4번 보냅니다. -t 옵션을 사용해서 계속해서 패킷을 보낼 수 있습니다. 본론으로 넘어와서 TCP Header의 구조는 아래 그림과 같습니다. TCP는 4계층 즉, 전송 계층이기 때문에 IPv4처럼 Address가 아닌 Source Port, Destination Port인 것을 확인할 수 있습니다. TCP에서의 6가지 Flag [ URG / ACK / PSH / RST / SYN / FIN ]는 매우 중요합니다. [ URG ] > Urgent, 긴급 플래그입니다. > 긴급 플래그이기 때문에 우선순위를 높게 설정된 비트입니다. [ ACK ] >..

이번 포스팅에서는 포트에 대해 잠깐 짚고 넘어가겠습니다. (CentOS7 기준) /etc/protocols 파일 안에 포트에 대한 정보가 저장되어 있습니다. icmp는 1번, ipv4는 4번, tcp는 6번 그림상에선 잘렸지만 udp는 17번입니다. 다시 내용으로 돌아와서 지난 포스팅에서 IPv4 Header에 대해 다뤘습니다. Time to live (TTL)은 ping을 보낼 때도 확인할 수 있습니다. 8.8.8.8 즉, Google의 DNS 서버로 ping을 돌렸습니다. ping이라는 명령어는 응용 프로그램입니다. 여기에서도 TTL을 확인할 수 있습니다. where 명령어로 ping을 검색해보면 리눅스와 마찬가지로 명령어 프로그램의 위치가 나옵니다. 즉, ping이라는 프로그램이 32바이트의 패킷을..

[정보 보안] Ethernet Frame과 IPv4 Header 포스팅과 이어지는 내용입니다. 흔히 말하는 IP는 IP Address(IP 주소)의 의미가 크지만, 확실하게 구분해야 합니다. IP (Internet Protocol) 과 IP Address는 분명히 다릅니다. 통상적으로 IP라고 부르지만, 정확히는 IP Header 안에 Source Address와 Destination Address 즉, IP Address가 들어있는 것을 볼 수 있습니다. 간단히 말해서 IP Address는 IP Header 안에 있는 항목입니다. IPv4 Header를 보면 맨 처음 " Version "이 4 Bits로 이뤄져있어 IPv4인지 IPv6인지 먼저 판단하게 됩니다. IHL은 Header Length로, 전..

Ethernet Frame은 아래 그림과 같습니다. MAC은 48 Bits 즉, 6 Bytes로 이루어져 있습니다. 하지만, 실제 Ethernet Frame을 보면 MAC은 12 Bytes를 차지하고 있습니다. Destination MAC과 Source MAC 을 가지고 있기 때문입니다. ( IP Address도 4 Bytes이지만, 출발지 IP와 목적지 IP를 갖기 때문에 실제적으로는 8 Bytes인 이유와 같습니다. ) "Ethernet에서 MAC Address의 크기는 얼마인가?" 하고 물어보는 문제에 당연히 6 Bytes라고 생각할 수 있지만, 12 Bytes입니다. 즉, MAC은 Source MAC Address (출발지 MAC 주소) 가 있다면, Destination MAC Address (목..

이전 포스팅에서 "브로드캐스트(Broadcast)"에 대해 언급했습니다. 데이터 전송 방식에 대해 다시 한번 짚고 넘어가겠습니다. [CISCO] 네트워크 개론 포스팅에서 브로드캐스트 뿐 아니라 유니캐스트, 멀티캐스트도 포스팅했습니다. [ Unicast (유니캐스트) ] > 유니캐스트는 같은 네트워크에서 "특정 대상"에게 1:1로 데이터를 전달하는 방식입니다. > 전송 상대를 "알고 있을 때" 사용합니다. > 요청에 대한 응답은 전송해야 할 상대를 알기 때문에 유니캐스트 방식으로 데이터를 전달합니다. > Ex) 강의실에서 한 사람만 지목하여 부르는 경우 [ Multicast (멀티캐스트) ] > 멀티캐스트는 같은 네트워크에서 "특정 그룹"에게 1:N으로 데이터를 전달하는 방식입니다. > 일부를 "알고 있을..

지난 포스팅에서 ARP(Address Resolution Protocol)를 사용하여 IP 주소를 가지고도 MAC 주소를 찾을 수 있다고 언급했습니다. CMD에서는 arp -a (또는 arp -g) 명령으로 ARP 테이블을 확인할 수 있습니다. ARP 테이블의 내용을 보면 IP Address와 MAC Address가 매핑되어 있습니다. 라우팅 테이블은 netstat -r 명령으로 확인이 가능합니다. IPv4 경로 테이블 즉, 라우팅 테이블을 확인할 수 있습니다. "스위치(Switch)"는 이 MAC Address를 다룹니다. 스위치는 데이터 링크 계층 즉, 2계층 장비입니다. ARP 테이블에서는 IP Address와 MAC Address를 매핑하지만, MAC 테이블에서는 MAC Address와 Ports..

[ MAC ] > 구조 : OUI + Serial(일련번호). NIC(Network Interface Card) 안에 들어있음. > 크기 : 48 > 필드 수 : 6 > 필드 당 비트 : 8 > 표기 : 16 > 구분자 : : - . > 총 개수 : 무제한 [ IPv4 ] > 구조 : 호스트 주소 + 네트워크 > 크기 : 32 > 필드 수 : 4 > 필드 당 비트 : 8 > 표기 : 10 > 구분자 : , > 총 개수 : 약 43억 개 [ IPv6 ] > 구조 : 네트워크ID + 인터페이스ID > 크기 : 128 > 필드 수 : 8 > 필드 당 비트 : 16 > 표기 : 16 > 구분자 : : > 총 개수 : (약) 43억 * 43억 * 43억 * 43억 개 CMD에서 ipconfig 명령어(또는 ipc..

[ 세션(Session) 이란? ] > 사용자와 컴퓨터, 또는 두 대의 컴퓨터 간의 활성화된 상태를 말한다. [ 세션 하이재킹(Session Hijacking)이란? ] > 두 시스템 간 연결이 활성화된 상태, 즉 로그인(Login)된 상태를 가로채는 것을 뜻한다. [ TCP 세션 하이재킹(Transmission Control Protocol Session Hijacking)이란? ] > TCP가 가지는 고유한 취약점을 이용해 정상적인 접속을 빼앗는 방법. TCP는 클라이언트와 서버 간 통신을 할 때 패킷의 연속성을 보장하기 위해 클라이언트와 서버는 각각 시퀀스 넘버를 사용한다. 이 시퀀스 넘버가 잘못되면 이를 바로 잡기 위한 작업을 하는데, TCP 세션 하이재킹은 서버와 클라이언트에 각각 잘못된 시퀀스..

ARP 스푸핑 > ARP (Address Resolution Protocol) Spoofing은 MAC 주소를 속이는 것. 즉, MAC주소를 속여 LAN에서의 통신 흐름을 왜곡시킨다. 공격자는 클라이언트와 서버에게 서로 통신하는 상대방을 공격자 자기 자신의 MAC 주소로 속인다. 이로 인해 서버와 클라이언트는 공격자에게 각각 패킷을 보낸다. 공격자는 각자에게 받은 패킷을 읽은 후 서버가 클라이언트에게 보내고자 하던 패킷을 클라이언트에게 보내고, 클라이언트가 서버에게 보내고자 하던 패킷을 서버에게 보내준다. 윈도우의 CMD에서 [ arp -a ] 명령을 이용해 ARP 테이블을 확인할 수 있다. ARP 테이블에는 현재 인지하고 있는 IP와 해당 IP를 가지고 있는 시스템의 MAC 주소 목록을 확인할 수 있다..

스니핑 공격 > 스니핑 공격은 수동적(Passive) 공격입니다. > 스니핑 공격을 할 때 2계층과 3계층 정보를 이용한 필터링은 방해가 되기 때문에 필터링을 해제합니다. 이 때 2, 3계층에서의 필터링을 해제하는 랜 카드의 모드를 프러미스큐어스 모드(Promiscuous Mode)라고 합니다. 스위치 재밍 공격 > 스위치의 주소 테이블의 기능을 마비시키는 공격입니다. ( = MACOF 공격) > 스위치에 랜덤한 형태로 생성한 MAC을 가진 패킷을 무한대로 보내면, 스위치의 MAC 테이블은 저장 용량을 넘어 원래의 기능을 잃습니다. SPAN 포트 태핑(Port Tapping) 공격 > SPAN은 포트 미러링(Port Mirroring)을 이용합니다. > 포트 미러링(Port Mirroring)이란? : ..