네트워크 패킷 분석

1. OSI 7 계층과 TCP/IP 4계층

OSI (Open System Interconnection) 7 계층은 네트워크의 표준화를 통해 호환성을 확보하기 위해 만들어 졌는데, 통신을 위해 필요한 다양한 프로토콜을 기능별로 나눈 것이다.

	OSI 7 계층	TCP/IP 4계층
데이터 처리 담당	7. 응용 프로그램 계층 6. 표현 계층 5. 세션 계층	4. 응용 프로그램 계층
데이터 전송 담당	4. 전송계층 3. 네트워크 계층 2. 데이터링크 계층 1. 물리 계층	3. 전송 계층 2. 인터넷 계층 1. 네트워크 인터페이스 계층  1. 네트워크 인터페이스 계층

(OSI 7계층에서 1,2,3,4 계층은 TCP/IP 4계층의 1,2,3 계층과 매핑되고, (순서대로)

 OSI 7계층에서 5,6,7 계층은 TCP/IP 4계층의 4 계층과 매핑된다.)

 

2. OSI 7계층

- 1970년대 중앙 집중형 네트워크에서 분산형 네트워크로 변해가면서 중소형 네트워크가 발달한다.

- 이 때 IBM이나 DEC 같은 회사들이 서로 자기들의 장비들만 통신이 가능하도록 개발.

(호환성 문제)

- 1984년 ISO (국제표준화기구) 에서 OSI 네트워크 모델을 발표했다.

계층별 기능

계층	특징
응용프로그램 계층	- 사용자나 응용 프로그램 사이에 데이터 교환 - HTTP,FTP,터미널 서비스,메일 등
표현 계층	- 응용 프로그램 계층 엔티티 간의 정보를 표현하는 구문이 다른경우,    하나의 통일된 형식으로 제공 - 데이터 압축, 암호화
세션 계층	- 사용자 시스템 간의 세션의 수립, 관리, 해제를 담당하는 계층
전송 계층	- 사용자 시스템 간의 안정적인 데이터 전송을 담당 - TCP/UDP
네트워크 계층	- 논리적 주소(IP) 배정, 라우팅
데이터 링크 계층	- 물리적 계층을 위한 데이터 전송의 신뢰성 제공 - 물리적 주소 지정, 네트워크 토폴로지, 오류제어, 흐름제어 등
물리 계층	- 두 시스템 간의 물리적 연결을 위한  전기적 메커니즘, 절차, 기능 - 전압 레벨, 최대 전송 거리, 물리적 커넥터, 단방향/반이중/전이중,   동기식/비동기식 전송 모드 등

3. TCP/IP 프로토콜

1970년 대 다양한 통신기기, 단말기, 컴퓨터들의 네트워크 연결이 증가하면서 서로 다른 컴퓨터 기종 간에도 원활한 통신을 위한 TCP/IP 라는 프로토콜이 개발되었다.

미국 국방성과 국책 연구기관, 대학 연구기관 간의 정보와 데이터 교환을 목적으로 개발한 ARPANET 은 TCP/IP의 등장으로 인해 사용자가 증가하였고, 이후 미국 국방성만 사용하는 MILNET과 일반 사용자들의 정보 교환을 위한 ARPANET 으로 구분하였다.

MILNET 과 ARPANET이 통합된 통신망을 DARPAnet 이라고 하였으며, 이게 인터넷의 

시초가 된다.

1. 네트워크 인터페이스 계층

Ethernet은 제록스의 PARC에 의해 1970년대에 개발되었고, 1980년대에 발표된 IEEE 802.3의 시초가 되었다.

오늘 날 "이더넷" 이라 하면 IEEE 802.3 규약을 따르는 CSMA/CD LAN을 이르는 말로 사용되며, LAN 에서 사용하는 가장 대표적인 프로토콜이 되었다.

preamble	SFD	목적지 주소	출발지 주소	타입길이	데이터	FCS
7 Bytes	1 Bytes	6 Bytes	6 Bytes	2 Bytes	46~ 1500 Bytes	4 Bytes

이더넷 에서는 각 노드를 구별하기 위해 MAC 주소를 사용한다. MAC 주소는 총 12개의 16 진수 숫자로 구성되어 있다.

앞 6개의 16진수는 제조사를,

뒤 6개의 16진수는 호스트 구분자를 쓴 제조사에서 붙인 일련번호이다.

Ex) 08:00:27:a8:10:b5 가 맥주소 일때 

08:00:27 는 제조사를, 

a8:10:b5는 호스트를 의미한다. 

2. 인터넷 계층

(1) IP (Internet Protocol)

IP는 네트워크 계층의 가장 대표적인 프로토콜이다. 두 노드 간의 데이터 전송 경로를 확립해 주는 역할을 하는데, IP 정보를 이용하여 전송 경로를 찾는 가장 대표적인 장비가 라우터이다.

[+] 이더넷 계층은 MAC 주소를 이용하여 LAN 구간의 데이터를 전송하고, 

[+] 네트워크 계층은 IP 주소를 이용하여 WAN 구간의 데이터를 전송한다.

0        8         16                                       24                          31

버전	헤더길이	서비스 유형			전체길이
식별자					RF	DF	MF	단편 오프셋
수명		프로토콜			체크썸
출발지 주소
목적지 주소
옵션

 └ IP 데이터 그램 구조

"목적지 주소" 까지의 크기는 20바이트 이다.

버전: IP 의 버전 정보. 값이 0x4 일 경우 IPv4를 의미한다.

헤더길이: IP 헤더의 길이. 이 필드의 값에 5를 곱한 값이 실제 헤더의 길이이다.

Ex) 필드 = 4. 실제 헤더의 길이는 4x5 = 20 이다.

서비스 유형: 라우터에서 IP 데이터 그램을 처리할 때 우선 순위를 정의, 최소 지연,
            최대 처리율(MTU), 최대 신뢰성 등을 설정할 수 있고, 기본값은 0 이다.

전체 길이: 헤더를 포함한 데이터 그램의 전체 길이

식별자: 단편화와 관련된 값으로 데이터 그램이 단편화될 때 모든 단편에 이 값이 복사되고, 

단편화된 데이터 그램이 증가할 때마다 1씩 증가

플래그: 데이터 그램 단편화와 관련된 필드로, 단편화 되었는지, 

    단편화 된 조각이 첫 번째 인지 중간 혹은 마지막인지 표시

단편 오프셋: 기존 데이터그램 내에서 단편의 상대적 위치를 의미

프로토콜: IP계층의 서비스를 사용하는 상위 계층 프로토콜을 정의. 

 값이 1이면 ICMP, 6이면 TCP, 12면 UDP가 상위 계층에 나타남

헤더 체크썸: 패킷의 전달 중에 발생할 수 있는 오류 검사를 위해서 사용

출발지 주소: 송신 측의 IP 주소

목적지 주소: 수신 측의 IP 주소

옵션: IP 헤더의 가변 부분으로 최대 길이는 40바이트

(2) ARP (Address Resolution Protocol)

LAN과 같은 물리적 매체에 연결된 두 IP 장비는 그 매체에 맞게 설계된 하위 계층 프로토콜을 사용하여 통신하므로 데이터 전송에 앞서 호스트 간의 물리적 주소를 파악해야 한다. 이러한 IP를 보조하기 위한 수단으로 ARP를 사용한다.

(ARP 프레임 헤더 는 총 28 바이트)