본문 바로가기

Rookies 9기/클라우드기반 시스템 운영구축 실무

클라우드기반 시스템 운영구축 실무 1일차

728x90

네트워크

 

• 논리적 주소 (3 계층 주소)

‣ IP address 구성

Network ID + Host ID

‣ Subnet Mask 기능

IP address의 Network ID와 Host ID 구분

 

 

•내부망과 외부망

‣ 내부망 : 송수신자가 동일한 네트워크 ID를 사용

‣ 외부망 : 송수신자가 서로 다른 네트워크 ID를 사용

 

 

•물리적 주소 (2계층 주소)

‣ 00-40-D0 : 제조회사 식별번호(OUI) , 15-81-C5 : 카드의 일련번호

‣ Network Interface Card(NIC) 또는 Ethernet Card

‣ 데이터링크계층의 MAC 계층에 의해 사용되는 48비트의 하드웨어 주소

 

 

•FQDN (Fully Qualified Domain Name, 7 계층 주소)

‣ Host Name + Domain Name

ex) www.test.com  www : Host Name , test.com : Domain Name

 

 

•포트번호 (4계층 주소)

포트주소 송신
포트주소 수신

‣ 데이터 송수신 번호

‣ 서비스 번호 또는 애플리케이션 번호

‣ 애플리케이션에서 부착해 전송

Well-Known Port : 1-1023

⇒ Registered Port : 1024-49151

⇒ Dynamic Port : 49152-65535

 

 

•전송 모드

‣ DNS (정방향) : 도메인 이름에 대한 IP 주소를 관리하는 영역

‣ DNS (역방향) : IP 주소에 대한 도메인 이름을 관리하는 영역

‣ ARP : IP 주소를 이용해 상대방의 MAC주소를 알아오는 프로토콜

‣ RARP : MAC 주소를 해당하는 IP주소를 알아오는 프로토콜

 

 

1. Unicast 전송 모드

Unicast

‣ 1:1 통신방식 

‣ 상대방의 MAC 주소를 지정했을 때 가능함

 

 

2. Brodcast 전송 모드

‣ 1 : 불특정 다수

‣ Brodcast IP 주소

⇒ Limited Brodcast(local Brodcast) : 255.255.255.255

⇒ Direcred Brodcast : 192.168.1.255/24

‣ Brodcast MAC 주소

⇒  FFFF.FFFF.FFFF.FFFF

 

 

3. Multicast  전송 모드

‣ 1 : 특정 다수

‣ Multicast IP 주소

224-239.X.X.X로 시작

‣ Multicast MAC 주소 형식

0100.5E로 시작

 

 

•ARP(Address Resolution Protocol)

‣ IP 주소에 대응되는 MAC 주소를 조회 변환해 주는 서비스

‣ ARP 패킷 종류

⇒ ARP request 패킷

       송신자가 수신자의 MAC 주소를 조회하기 위해 보내는 질의 패킷

       브로드캐스트 방식으로 운영

⇒ ARP reply 패킷

       ARP request에 대해 응답 패킷

      유니캐스트 방식으로 운영

 

 

•ARP Cache Table

⇒ IP 주소와 MAC 주소의 대응 관계를 저장한 테이블

⇒ ARP 캐시 테이블 확인 명령어 : arp -a 

ARP Cache Table 브로드캐스트

‣ ARP Cache를 통해 MAC이 안 나올시 ARP를 통해 MAC Address를 구할 수 있음

‣ 패킷이 들어올 시 MAC 먼저 확인

‣ Request는 브로드캐스트 방식

ARP Cahe Table 유니캐스트

‣ 맨 처음 패킷이 내 LAN 카드에 들어올 시 수진지 MAC 파악

‣ 송신지 주소 그대로 기록

퀴즈
Request 보낸 적 없는 Reply가 들어올 시 주소 기록한다? 안 한다?
⇒ 기록한다 -> ARP 취약점

 

 

•Forwarding과 Flooding

Forwarding (포워딩)

‣ 하나의 송신지 포트에서 하나의 수신지 포트로 트래픽 전송 (유니캐스트)

 

Flooding (플러딩)

‣ 송신자 포트를 제외한 나머지 포트들로 트래픽 전송 (브로드캐스트)

 

 

•Switch (2계층 장비)

‣ MAC Address Table에 수신자 MAC Address 가 있으면 Forwarding (포워딩), 없으면 Flooding (플러딩) 전송

 

 

•Router (3계층 장비)

‣ Forwarding 방식으로 전송, Flooding 방식으로는 drop(폐기) 시킨다. 

 

 

•Hub (1 계층 장비)

‣ Flooding 방식으로만 전송

 

 

트래픽 흐름(내부망)

1 단계 DNS를 이용하여 수신 IP 주소 조회

DNS를 이용하여 수신지 IP 주소 조회

⇒ DNS 캐시 조회 (c:\> ipconfig /displaydns)

Hosts.txt 파일 위치

⇒ Hosts.txt 파일 조희 (\windows\system32\drivers\etc\hosts)

⇒ DNS 서버 이용

 

2 단계 송신자 서브넷 마스크를 이용하여 수신지가 (내부망/외부망)에 존재하는지 확인

(송신지의) 서브넷마스크를 이용하여 수신자 내부방 확인

 

3 단계 수신자 MAC 주소 조회

ARP를 이용하여 수신자 MAC 주소 조회

⇒ ARP 캐시 조회

⇒ ARP Requset/Reply를 이용

 

4 단계 수신지로 트래픽 전송

 

 

트래픽 흐름(외부망)

1 단계 DNS를 이용하여 수신지 IP 주소 조회

DNS를 이용하여 수신지 IP 주소 조회

⇒ DNS 캐시 조회 (c:\> ipconfig /displaydns)

⇒ Hosts.txt 파일 조회 (windows\system32\drivers\etc\hosts)

⇒ DNS 서버 이용

 

2 단계 송신자 서브넷 마스크를 이용하여 수신지가 (내부망/외부망)에 존재하는지 확인

서브넷 마스크를 이용하여 수신자 외부망 확인

 

3 단계 GateWay의 MAC 주소 조회

ARP를 이용하여 게이트웨이 MAC 주소 조회

⇒ ARP 캐쉬 조회

⇒ ARP Request/Reply 전송

 

4단계 Media Translation 방법으로 수신지로 트래픽 전송

 

 

•Media Translation ⭐

‣ 3 계층 이상의 장비에서 처리

‣ 패킷이 출발지에서 목적지까지 가는 동안 3 계층 장비를 거칠 때마다 L2 헤더(프레임 헤더) 번경

⇒ 3 계층 주소(IP주소) 변환 없음

⇒ 2 계층 주소는 스위칭 환경에 따라 변환'

더보기

Destination MAC는 RouterA 주소를 입력해야 한다.

•Gateway

망과 망을 연결시켜 주는 중계 장비

‣ 3 계층 이상의 장비

‣ 라우터, 멀티레이어 스위치, 게이트웨이 전용 장비(방화벽)

‣ 게이트웨이 IP는 네트워크 IP 내부망에 있어야 한다.

 

스위치 경로 DB : Mac Address Table

라우터 경로 DB : Routing Table

⇒ 공통점 : 브로드캐스트 주소, 멀티 캐스트 주소를 등록하지 않음

 

퀴즈
1) 스위치는 브로드캐스트/멀티캐스트 패킷
‣ 포워딩 : Mac Table에 목적지 정보가 있으면 포워딩 전송
‣ 플러딩 : Mac Table에 목적지 정보가 없으면 플러딩 전송

2) 라우터는 브로드캐스트/멀티캐스트 패킷
‣ drop (폐기)

 

•Wireshark 이용한 Sniffing 환경 구성과 패킷 분석

‣ 패킷 스니핑(sniffing) 또는 프로토콜 분석(protocol analysis) 툴

‣ 네트워크를 통해 전달되는 데이터를 수집하고 해석

 

※ 패킷 수집과 패킷 분석

  LINUX MS-Window
패킷수집(CUI)  TCPdump TShark
패킷분석(GUI) Wireshark Wireshark

 

 

•무차별 모드(Promisuous Mode)

‣ 데이터 링크 계층과 네트워크 계층의 주소 필터링을 해제한 모드

주소 지정에 관계없이 호스트의 프로세서에 모든 패킷을 전달

‣ 패킷이 CPU에 전달되면 분석을 위해 패킷 스니핑 애플케이션에 넘겨짐

‣ 유닉스 또는 리눅스에서는 'ifconfig eth0 promisc'로 설정

‣ Window에서는 winpcap 설치로 무차별 모드 설정

 

 

•Packet Sniffing 환경

1. 허브 환경에서의 스니핑

‣ 허브를 통해 전송되는 트래픽은 해당 허브에 연결된 모드 포트를 통과

‣ 플러딩 방식

 

2. 스위치 환경에서 스니핑 방법

 

포트 미러링(port mirroring)

스위치가 포트 미러링을 설정

 

허빙 아웃(hubbing out)

스위치로 구성된 네트워크 안의 연결들을 해체하고, 허브를 연결해주는 방법

 

탭 사용(tapping)

스위치와 목표 시스템 네트워크 케이블을 뺀 후 탭 장비에 연결

 

‣ Aggregated TAP

3개의 포트로 구성

양방향 트래픽을 스니핑 하기 위한 물리적 모니터 포트를 하나만 갖고 있음

    

‣ Nonaggregated TAP

4개의 포트로 구성. 두 개의 모니터 포트가 있음

하나의 모니터 포트는 한 방향으로 트래픽을 스니핑, 다른 모니터 포트는 다른 방향에서 트래픽을 스니핑