네트워크
• 논리적 주소 (3 계층 주소)
‣ IP address 구성
⇒ Network ID + Host ID
‣ Subnet Mask 기능
⇒ IP address의 Network ID와 Host ID 구분
•내부망과 외부망
‣ 내부망 : 송수신자가 동일한 네트워크 ID를 사용
‣ 외부망 : 송수신자가 서로 다른 네트워크 ID를 사용
•물리적 주소 (2계층 주소)
‣ 00-40-D0 : 제조회사 식별번호(OUI) , 15-81-C5 : 카드의 일련번호
‣ Network Interface Card(NIC) 또는 Ethernet Card
‣ 데이터링크계층의 MAC 계층에 의해 사용되는 48비트의 하드웨어 주소
•FQDN (Fully Qualified Domain Name, 7 계층 주소)
‣ Host Name + Domain Name
ex) www.test.com ⇒ www : Host Name , test.com : Domain Name
•포트번호 (4계층 주소)
‣ 데이터 송수신 번호
‣ 서비스 번호 또는 애플리케이션 번호
‣ 애플리케이션에서 부착해 전송
⇒ Well-Known Port : 1-1023
⇒ Registered Port : 1024-49151
⇒ Dynamic Port : 49152-65535
•전송 모드
‣ DNS (정방향) : 도메인 이름에 대한 IP 주소를 관리하는 영역
‣ DNS (역방향) : IP 주소에 대한 도메인 이름을 관리하는 영역
‣ ARP : IP 주소를 이용해 상대방의 MAC주소를 알아오는 프로토콜
‣ RARP : MAC 주소를 해당하는 IP주소를 알아오는 프로토콜
1. Unicast 전송 모드
‣ 1:1 통신방식
‣ 상대방의 MAC 주소를 지정했을 때 가능함
2. Brodcast 전송 모드
‣ 1 : 불특정 다수
‣ Brodcast IP 주소
⇒ Limited Brodcast(local Brodcast) : 255.255.255.255
⇒ Direcred Brodcast : 192.168.1.255/24
‣ Brodcast MAC 주소
⇒ FFFF.FFFF.FFFF.FFFF
3. Multicast 전송 모드
‣ 1 : 특정 다수
‣ Multicast IP 주소
⇒ 224-239.X.X.X로 시작
‣ Multicast MAC 주소 형식
⇒ 0100.5E로 시작
•ARP(Address Resolution Protocol)
‣ IP 주소에 대응되는 MAC 주소를 조회 변환해 주는 서비스
‣ ARP 패킷 종류
⇒ ARP request 패킷
송신자가 수신자의 MAC 주소를 조회하기 위해 보내는 질의 패킷
브로드캐스트 방식으로 운영
⇒ ARP reply 패킷
ARP request에 대해 응답 패킷
유니캐스트 방식으로 운영
•ARP Cache Table
⇒ IP 주소와 MAC 주소의 대응 관계를 저장한 테이블
⇒ ARP 캐시 테이블 확인 명령어 : arp -a
‣ ARP Cache를 통해 MAC이 안 나올시 ARP를 통해 MAC Address를 구할 수 있음
‣ 패킷이 들어올 시 MAC 먼저 확인
‣ Request는 브로드캐스트 방식
‣ 맨 처음 패킷이 내 LAN 카드에 들어올 시 수진지 MAC 파악
‣ 송신지 주소 그대로 기록
퀴즈 Request 보낸 적 없는 Reply가 들어올 시 주소 기록한다? 안 한다? ⇒ 기록한다 -> ARP 취약점 |
•Forwarding과 Flooding
‣ 하나의 송신지 포트에서 하나의 수신지 포트로 트래픽 전송 (유니캐스트)
‣ 송신자 포트를 제외한 나머지 포트들로 트래픽 전송 (브로드캐스트)
•Switch (2계층 장비)
‣ MAC Address Table에 수신자 MAC Address 가 있으면 Forwarding (포워딩), 없으면 Flooding (플러딩) 전송
•Router (3계층 장비)
‣ Forwarding 방식으로 전송, Flooding 방식으로는 drop(폐기) 시킨다.
•Hub (1 계층 장비)
‣ Flooding 방식으로만 전송
•트래픽 흐름(내부망)
1 단계 DNS를 이용하여 수신 IP 주소 조회
⇒ DNS 캐시 조회 (c:\> ipconfig /displaydns)
⇒ Hosts.txt 파일 조희 (\windows\system32\drivers\etc\hosts)
⇒ DNS 서버 이용
2 단계 송신자 서브넷 마스크를 이용하여 수신지가 (내부망/외부망)에 존재하는지 확인
3 단계 수신자 MAC 주소 조회
⇒ ARP 캐시 조회
⇒ ARP Requset/Reply를 이용
4 단계 수신지로 트래픽 전송
•트래픽 흐름(외부망)
1 단계 DNS를 이용하여 수신지 IP 주소 조회
⇒ DNS 캐시 조회 (c:\> ipconfig /displaydns)
⇒ Hosts.txt 파일 조회 (windows\system32\drivers\etc\hosts)
⇒ DNS 서버 이용
2 단계 송신자 서브넷 마스크를 이용하여 수신지가 (내부망/외부망)에 존재하는지 확인
3 단계 GateWay의 MAC 주소 조회
⇒ ARP 캐쉬 조회
⇒ ARP Request/Reply 전송
4단계 Media Translation 방법으로 수신지로 트래픽 전송
•Media Translation ⭐
‣ 3 계층 이상의 장비에서 처리
‣ 패킷이 출발지에서 목적지까지 가는 동안 3 계층 장비를 거칠 때마다 L2 헤더(프레임 헤더) 번경
⇒ 3 계층 주소(IP주소) 변환 없음
⇒ 2 계층 주소는 스위칭 환경에 따라 변환'
Destination MAC는 RouterA 주소를 입력해야 한다.
•Gateway
‣ 망과 망을 연결시켜 주는 중계 장비
‣ 3 계층 이상의 장비
‣ 라우터, 멀티레이어 스위치, 게이트웨이 전용 장비(방화벽)
‣ 게이트웨이 IP는 네트워크 IP 내부망에 있어야 한다.
스위치 경로 DB : Mac Address Table
라우터 경로 DB : Routing Table
⇒ 공통점 : 브로드캐스트 주소, 멀티 캐스트 주소를 등록하지 않음
퀴즈 1) 스위치는 브로드캐스트/멀티캐스트 패킷 ‣ 포워딩 : Mac Table에 목적지 정보가 있으면 포워딩 전송 ‣ 플러딩 : Mac Table에 목적지 정보가 없으면 플러딩 전송 2) 라우터는 브로드캐스트/멀티캐스트 패킷 ‣ drop (폐기) |
•Wireshark 이용한 Sniffing 환경 구성과 패킷 분석
‣ 패킷 스니핑(sniffing) 또는 프로토콜 분석(protocol analysis) 툴
‣ 네트워크를 통해 전달되는 데이터를 수집하고 해석
※ 패킷 수집과 패킷 분석
LINUX | MS-Window | |
패킷수집(CUI) | TCPdump | TShark |
패킷분석(GUI) | Wireshark | Wireshark |
•무차별 모드(Promisuous Mode)
‣ 데이터 링크 계층과 네트워크 계층의 주소 필터링을 해제한 모드
‣ 주소 지정에 관계없이 호스트의 프로세서에 모든 패킷을 전달
‣ 패킷이 CPU에 전달되면 분석을 위해 패킷 스니핑 애플케이션에 넘겨짐
‣ 유닉스 또는 리눅스에서는 'ifconfig eth0 promisc'로 설정
‣ Window에서는 winpcap 설치로 무차별 모드 설정
•Packet Sniffing 환경
1. 허브 환경에서의 스니핑
‣ 허브를 통해 전송되는 트래픽은 해당 허브에 연결된 모드 포트를 통과
‣ 플러딩 방식
2. 스위치 환경에서 스니핑 방법
‣ 포트 미러링(port mirroring)
‣ 허빙 아웃(hubbing out)
‣ 탭 사용(tapping)
‣ Aggregated TAP
3개의 포트로 구성
양방향 트래픽을 스니핑 하기 위한 물리적 모니터 포트를 하나만 갖고 있음
‣ Nonaggregated TAP
4개의 포트로 구성. 두 개의 모니터 포트가 있음
하나의 모니터 포트는 한 방향으로 트래픽을 스니핑, 다른 모니터 포트는 다른 방향에서 트래픽을 스니핑
'Rookies 9기 > 클라우드기반 시스템 운영구축 실무' 카테고리의 다른 글
클라우드기반 시스템 운영구축 실무 6일차 (0) | 2022.10.31 |
---|---|
클라우드기반 시스템 운영구축 실무 5일차 (0) | 2022.10.28 |
클라우드기반 시스템 운영구축 실무 4일차 (0) | 2022.10.27 |
클라우드기반 시스템 운영구축 실무 3일차 (0) | 2022.10.26 |
클라우드기반 시스템 운영구축 실무 2일차 (0) | 2022.10.25 |