시스템 운영/구축 실무 1일차 (22/10/24)

• 네트워크 개요

 

- LAN과 LAN을 연결하기 위해 WAN 사용

 

 

• Gateway

- 망과 망을 연결시켜주는 중계 장비

- 3계층 이상의 장비로 사용 {라우터, 멀티레이어 스위치, 게이트웨이 전용 장비(방화벽)}

 

1) 네트워크 주소

 

- FQDN

- Port Number

- IP Address

- MAC Address

 

 

• 논리적 주소 (3계층)

 

- IP address 구성

→ Network ID + Host ID

 

- Subnet Mask 기능

→ IP address의 Network ID와 Host ID 구분

 

 

• 내부망과 외부망

 

- 송신자 : 데이터를 보내는 측

- 수신자 : 데이터를 받는 측

 

- 내부망 : 송수신자가 동일한 네트워크 ID 사용

- 외부망 : 송수신자가 서로 다른 네트워크 ID 사용

 

 

 

• 물리적 주소 (2계층)

 

- Network Interface Card (NIC ) 또는 Ethernet Card

- 데이터링크 계층의 MAC 계층에 의해 사용되는 48비트의 하드웨어 주소

- MAC 주소 (16진수 표현) : 00-40-D0-15-81-C5

 

 

• FQDN (7계층)

 

- 도메인 전체 이름을 표기하는 방식 (Fully Qualified Domain Name)

- 절대 도메인 네임 또는 전체 도메인 네임이라 불림

- Host Name + Domain Name {ex) www.test.com } 

 

 

• 주소 구성 { 그룹 주소 + 고유번호(명) }

 

- MAC 주소 구성 = 제조회사 + 일련번호

- IP 주소 구성 = 네트워크 ID + 호스트 ID

- FQDN 주소 구성 = 호스트명 + 도메인명

 

 

• 포트번호 (4계층 주소)

 

- 데이터 송수신 번호

- 서비스 번호 또는 애플리케이션 번호

- 애플리케이션에서 부착해 전송

- Well-Known Port : 1 - 1023

- Registered Port : 1024 - 49151

- Dynamic Port : 49152 - 65535

 

 

• 포트주소 (송신)

 

 

 

• 포트주소 (수신)

 

 

 

• DNS & ARP

 

 

 

2) 전송모드

 

- Unicast 1 : 1

- Broadcast 1 : m (불특정 다수)

- Multicast 1 : n (특정 다수)

 

※ 송신자는 1명으로 봄

 

 

• Unicast 전송모드

 

 

 

• Broadcast 전송모드

 

1) Broadcast IP 주소

- Limited Broadcast(local broadcast) : 255.255.255.255

- Directed Broadcast : 192.168.1.255/24

 

2) Broadcast MAC 주소

- FFFF.FFFF.FFFF

 

 

예제)

 

 

• Multicast 전송모드

- Multicast IP 주소 : 224-239.X.X.X

- Multicast MAC 주소 형식 : 0100.5EXX.XXXX

 

※ 5로 시작한다고 모두 멀티캐스트는 아님

 

예제)

- 라디오 프로그램을 설치하자 멀티캐스트 주소 할당

- 라디오 서버가 트래픽 전송 시 멀티캐스트 주소 할당된 곳만 전송됨

 

 

• ARP

 

- IP 주소에 대응되는 MAC 주소 조회 변환해 주는 서비스

 

- ARP 패킷 종류

① ARP request 패킷

- 송신지가 수신지의 MAC 주소를 조회하기 위해 보내는 질의 패킷

- 브로드캐스트 방식으로 운영

 

② ARP reply 패킷

- ARP request에 대해 응답 패킷

- 유니캐스트 방식으로 운영

 

※ ARP Cache Table

- IP주소와 MAC 주소의 대응 관계를 저장한 테이블

- ARP 캐시 테이블 확인 명령어 : arp -a

 

 

예제)

- ARP Cache를 통해 MAC이 안 나올 시 ARP를 통해 MAC Address를 구할 수 있음

- 패킷이 들어올 시 MAC 먼저 확인

- Request는 브로드캐스트 방식

 

- 맨 처음 패킷이 내 LAN 카드에 들어올 시 수신지 MAC 파악

- 송신지 주소 그대로 기록

 

Q. Request 보낸 적 없는데 Reply가 들어올 시 주소 기록한다? 안 한다?

A. 기록한다

→ ARP 취약점

 

 

3) 계층별 장비

 

- Switch

- Router

- Hub

 

 

• Forwarding & Flooding

 

- Forwarding : 하나의 송신지 포트에서 하나의 수신지 포트로 트래픽 전송

- Flooding : 송신지 포트 제외한 나머지 포트들로 트래픽 전송

 

 

 

• Switch (2계층 장비)

 

- MAC 주소에 테이블이 있을 시 Forwarding , 없을 시 Flooding로 전송

 

 

• Router (3계층 장비)

 

- Forwarding 방식으로만 전송 후 폐기해버림

 

 

• Hub (1계층 장비)

 

- Flooding 방식으로만 전송

 

 

4) 트래픽 흐름

 

- 내부망 트래픽 흐름

- 외부망 트래픽 흐름

 

 

• 트래픽 흐름 (내부망)

 

① DNS를 이용하여 수신지 IP 주소 조회

 

 

   - DNS 캐시 조회  (c:\> ipconfig /displaydns)

   - Hosts.txt 파일 조회  (\windows\system32\drivers\etc\hosts)

   - DNS 서버 이용

 

 

② 송신자 서브넷 마스크 이용해 수신지가 (내부망/외부망)에 존재하는지 확인

 

 

 

③ 수신지 MAC 주소 조회

 

 

   - ARP 캐시 조회

   - ARP Request/Reply 이용

 

 

④ 수신지로 트래픽 전송

 

 

• 트래픽 흐름 (외부망)

 

① DNS를 이용하여 수신지 IP 주소 조회

 

 

   - DNS 캐시 조회  (c:\> ipconfig /displaydns)

   - Hosts.txt 파일 조회  (windows\system32\drivers\etc\hosts)

   - DNS 서버 이용

 

 

② 송신자 서브넷 마스크 이용해 수신지가 (내부망/외부망)에 존재하는지 확인

 

 

 

③ GateWay의 MAC 주소 조회

 

 

   - ARP 캐시 조회

   - ARP Request/Reply 전송

 

 

④ Media Translation 방법으로 수신지로 트래픽 전송

 

 

• Media Translation (★)

 

- 3계층 이상의 장비에서 처리

- 패킷이 출발지에서 목적지까지 가는 동안 3계층 장비를 거칠 때마다 L2 헤더 (프레임 헤더) 변경

- 3계층 주소 (IP 주소) 변환 없음

- 2계층 주소는 스위칭 환경에 따라 변환

 

- 스위치 경로 DB : MAC Address Table

- 라우터 경로 DB : Routing Table

→ 공통점 : 브로드캐스트 주소, 멀티캐스트 주소 등록X

 

Q. 스위치는 브로드캐스트/멀티캐스트 패킷

A. Forwading : MAT에 목적지 정보 있을 때

Flooding : 목적지 정보가 없을 때

 

 

	송신 IP	수신 IP	송신 MAC	수신 MAC
PC_1 →  Router A	RA 172.16.21.7	172.16.34.250	6666	2222
Router A → Router B	RB 172.16.21.7	172.16.34.250	9999	3333
Router B → FTP	FTP 172.16.21.7	172.16.34.250	7777	5555

 

 

• Wireshark 이용한 Sniffing 환경 구성과 패킷 분석

- 패킷 스니핑(sniffing) 또는 프로토콜 분석(protocol analysis) 툴

- 네트워크를 통해 전달되는 데이터를 수집하고 해석

 

- 패킷 수집과 패킷 분석

	LINUX	MS-Window
패킷수집	TCPdump	TShark
패킷분석	Wireshark	Wireshark

 

 

• 무차별모드(Promiscuous mode)

 

- 데이터 링크 계층과 네트워크 계층의 주소 필터링 해제한 모드

- 주소 지정에 관계없이 호스트의 프로세서에 모든 패킷 전달

- 패킷이 CPU에 전달되면 분석을 위해 패킷 스니핑 애플리케이션에 넘겨짐

- 유닉스 또는 리눅스에서는 ‘ifconfig eth0 promisc’로 설정

 - Window에서는 winpcap 또는 Npcap 설치로 무차별 모드 설정

 

 

 

• Packet Sniffing 환경

 

① 허브 환경에서의 스니핑

- 허브를 통해 전송되는 트래픽은 해당 허브에 연결된 모드 포트 통과

- 플러딩 방식

 

Visibility window

 

② 스위치 환경에서 스니핑 방법

 

 

 

⑴ 포트 미러링 (port mirroring)

 

 

 

⑵ 허빙 아웃 (hubbing out)

- 스위치로 구성된 네트워크 안 연결 해제 후, 허브 연결

 

 

⑶ 탭 사용 (tapping)

- 스위치와 목표 시스템 네트워크 케이블 뺀 후 탭 장비에 연결