Just Do it

이번에는 UDP 패킷을 살펴보려 한다. UDP는 TCP와 쌍을 이루는 트랜스포트 계층 프로토콜이다. 패킷 리스트 영역에서 프로토콜이 UDP인 것을 더블클릭하여 패킷 상세 영역에서 User Datagram Protocol 을 클릭한다. 가장 위에는 Source Prot와 Destination Port가 표시된다. 그리고 화면에서는 송신자 포트 번호가 미리 지정된 포트로 할당한 29397를 사용하고 있다.또 수신자 포트 번호는 43611으로 되어 있다.포트 번호 뒤에는 길이 필드가 오고, 길이 필드에는 UDP 데이터크램의 크기가 지정된다. 2바이트인 체크섬 필드가 이어진다. 이는 패킷의 내용을 확인하기 위해 마련된 필드이다.

UDP(User Datagram Protocol)은 트랜스포트 계층의 비연결형 프로토콜이다. UDP는 포트 번호를 이용해서 컴퓨터의 프로세스끼리 연결시킨다. 이를 프로세스 간 통신이라 한다. 포트 번호는 2바이트 주소로, 트랜스포트 계층의 식별자를 나타낸다. 또 포트 번호는 컴퓨터의 프로세스를 식별하는 번호이기도 하다. 즉 이 번호가 UDP가 이용하는 주소이고, 프로세스를 지정함으로 UDP의 상위 계층의 프로토콜을 결정하는 역할도 맡고 있다.(UDP포트 번호가 결정되면 서버 측 애플리케이션도 결정, 한편 서버 측에서 동작하는 애플리케이션은 서비스 또는 데몬이라 함) 포트 번호로 애플리케이션을 결정하기 위해서는 번호를 미리 정해둘 필요가 있는데0 ~ 1023 번 포트에 대해서는 Well-Known 포트, ..

이제 ARP의 덤프 분석을 해보려 한다. Info 열에 'Who has.....'이라고 표시되어 있는 패킷이 ARP 요청 프레임이고, '..........is at ...........' 으로 표시되어 있는 패킷이 ARP 응답 프레임이다. 이 2개의 패킷을 ARP 시퀀스라고 한다. 이제는 패킷 상세 영역에서 Ethernet 2를 클릭해서 내용을 보면 수신자 MAC 주소를 지정하는 'Destination' 필드를 확인하면 'Broadcast' 라고 되어 있다.아래의 그림은 ARP 요청 브로드캐스트이다. 수신자 AMC 주소를 지정하는 Destination 필드를 확인하면 Broadcast 라고 되어 있다. 또한 이때 패킷 데이터 영역에는 'ff:ff:ff:ff:ff:ff' 부분이 반전 표시 될 것이다. AR..

ARP(Address Resolution Protocol) 즉 주소 분해 프로토콜이라 한다. ARP의 통신 송수신은 IP 주소를 단서로 삼아 MAC주소를 물어보는 ARP요청 브로드캐스트와 해당 IP 주소를 사용하고 있는 기기가 물어본 곳으로 MAC 주소 및 IP 주소를 대답하는 ARP 응답 유니캐스트 조합으로 구성되어 있다. 먼저 ARP 패킷의 형식부터 알아보자. ARP 요청은 아래와 같은 통신순서로 이루어 진다. 1. 통신을 하고자 하는 상대의 IP 주소를 Target IP Address 로 설정하고 동시에 Target MAC Address를 비워둔 채 브로드캐스트 패킷을 LAN 전체로 보낸다. 2. LAN 내의 모든 단말이 이 요청을 수신해서 내용을 확인한다. 3. 이때 해당 IP 주소를 지닌 PC는..

이 블로그는 제가 공부한 것을 바탕으로 정리 목적으로 사용되고 있습니다.작성 내용중 부족한 부분이나 잘못된 부분을 지적해주시면 감사하겠습니다 (꾸벅) 1. 홈페이지의 패킷을 캡처하기 먼저 와이어샤크를 실행 후, 상어 지느러미를 누른다. 그리고 웹브라우저를 실행하고 네이버를 표시한다. 툴바의 정지 버튼을 클릭한 다음에 Filter 부분에 http를 입력한다. 그러면 HTTP 프로토콜을 포함하는 패킷만이 패킷 리스트 영역에 표시된다.홈페이지 내용에 따라 다르지만, 패킷 리스트 영역에 여러 개의 패킷이 표시되어 있다. 패킷 리스트 영역의 Info열에서 GET /n?u=http%3A%2F%2Fwww.naver.com..... 과 HTTP/1.1 200 OK (text/html)이라고 표시되어 있는 것을 찾아본다..

이 블로그는 제가 공부한 것을 바탕으로 정리 목적으로 사용되고 있습니다.작성 내용중 부족한 부분이나 잘못된 부분을 지적해주시면 감사하겠습니다 (꾸벅) 이번에는 와이어샤크를 사용하도록 하겠다. 먼저 패킷 캡처를 시작하는 방법에 대해 알아보자. 패킷 캡처를 시작하는 방법은 5가지가 있다.스타트업 화면의 링크를 클릭해서 시작하는 방법인터페이스를 확인하고 시작하는 방법캡처 옵션 화면에서 인터페이스를 지정하고 시작하는 방법이전과 동일한 조건으로 시작하는 방법명령을 이용해 시작하는 방법 1. 스타트업 호면의 링크를 클릭해서 시작하는 방법 가장 간단하게 패킷 캡처를 시작할 수 있다.조작 순서1, 와이어샤크가 실행되면 스타트업 화면이 표시된다.2. 캡처를 하려는 랜카드를 클릭한다. 그리고 Start를 클릭하면 패킷 캡..

이 블로그는 제가 공부한 것을 바탕으로 정리 목적으로 사용되고 있습니다. 작성 내용중 부족한 부분이나 잘못된 부분을 지적해주시면 감사하겠습니다 (꾸벅) 와이어샤크의 실제 패킷을 캡처하기 전에 화면 구성을 알아보자. 1. 패킷 리스트 영역캡처한 모든 패킷의 정보를 표시한다. OSI layer2의 패킷이 캡쳐되었다면, Source, Destination 열에서 MAC 주소를 확인 할 수 있다. 이 경우 포트 열에는 아무 값도 나타나지 않는다.OSI layer3의 이나 그보다 상위 패킷이 캡처된다면, Source, Destination 열에서 IP 주소를 확인 할 수 있다. 패킷이 layer4 혹은 그 이상일 경우에만 포트 열에 값이 표시 된다. 열 이름 표시 내용 No. (번호) 패킷 일련번호를 표시한다. ..

이 블로그는 제가 공부한 것을 바탕으로 정리 목적으로 사용되고 있습니다.작성 내용중 부족한 부분이나 잘못된 부분을 지적해주시면 감사하겠습니다 (꾸벅) 와이어샤크 실행 와이어샤크를 각 OS환경에 맞게 설치한 후에 실행하면 아래와 같은 화면이 뜬다. 1. CAPTURE 영역[Interface List]를 클릭하면 패킷을 캡퍼할 수 있는 LAN카드 리스트 목록이 열린다. 아래에는 와이어샤크에 인식된 LAN카드가 텍스트박스 목록으로 표시되며, 그 중에 패킷 캡처하려는 네트워크 인터페이스를 하나 클릭하거나 control 키를 누르면 여러개의 네트워크 인터페이스를 클릭해서 선택한다. 다음은 상어지느러미 아이콘으로 표시된 [Start]를 클릭하면 선택된 인터페이스에서 캡처를 바로 시작할 수 있다. [Capture O..

이 블로그는 제가 공부한 것을 바탕으로 정리 목적으로 사용되고 있습니다. 작성 내용중 부족한 부분이나 잘못된 부분을 지적해주시면 감사하겠습니다 (꾸벅) 와이어샤크의 개념 와이어샤크는 누구나 PC에 설치하여 이용할 수 있다. 이 프로그램은 소스코드도 공개되어 있어서 자기가 사용하기 용이하도록개선하거나 새로운 프로토콜을 추가할 수 있다. 와이어샤크 문서에 따르면 와이어샤크를 사용하는 목적을 명시하고 있다. 네트워크 관리자가 네트워크의 장애를 해결하기 위해 사용한다.보안 기술자가 보안 문제를 테스트, 확인하기 위해 사용한다.개발자가 프로토콜 구현에 대해 디버그(오류 확인)하기 위해 사용한다.사람들이 네트워크 프로토콜의 내용에 관해 학습하기 위해 사용한다. 위의 3가지만 보면 우리가 사용하기에는 적합하지 않다고..