정보보안기사 실기_네트워크 기본학습 2

@OSI 모델 데이터 교환 방식

1. Encapsulation / Decapsulation
 - 상위계층의 데이터가 하위계층으로 보내지면, 하위 계층 프로토콜은 자신의 기능 수행을 위해 필요한 부가정보를 추가해서 새롭게 전송 메시지를 완성한다. 이를 캡슐화라고함
 - 수신측에서 상위계층으로 데이터를 보낼때 해당 계층의 헤더정보를 확인한 후 이를 제거하고 상위 계층으로 데이터를 보낸다. 이를 역캡술화라고 한다.

2. Multiplexing (다중화) / Demultiplexing(역다중화)
 - 다중화는 하나의 기능을 여러 영역에서 동시에 사용하는 기법을 말한다. 상위계층의 여러 프로토콜들이 하위계층의 하나의 프로토콜을 이용하여 데이터를 전달하는 방식으로 수신측에서 상위 프로토콜을 구별할 수 있도록 프로토콜 식별자 정보를 헤더에 추가한다.
 - 역다중화는 공유하는 기능으로부터 개별 영역으로 분할하는 기법을 의미한다. 하위계층의 프로토콜이 여러 상위계층의 프로토콜중 하나를 식별하여 데이터를 전달하는 방식으로 이를 위해서는 상위 프로토콜을 구별하기 위한 프로토콜 식별자정보를 이용한다.

@TCP/IP 프로토콜

1) Application Layer(응용 계층)
 - 네트워크 서버/클라이언트 프로그램을 담당하는 계층
 - 사용자와의 인터페이스를 담당하는 계층

 -> HTTP(80), FTP(전송포트=20, 데이터=21), SSH(22), SFTP(22), TELNET(23), SMTP(25), POP3(110), IMAP(143), DNS(53), DHCP(67,68), TFTP(69), SNMP(161)

2) Transport Layer(전송 계층)
 - 프로세스간의 신뢰성 있는 데이터 전송을 담당하는 계층, 전송중에 발생하는 오류, 손실, 및 히름 제어를 적절히 수행하여 데이터의 안전한 전송을 보장함
 - 프로세스를 식별하기 위한 논리적 주소로 Port(16bit)를 사용

 ->주요 프로토콜
 -  TCP : 신뢰성 있는 연결지향 프로토콜
 - UDP : 비신뢰성 비연결지향 프로토콜(데이터 크램 기반 전송)
 - SCTP(Stream Control Transfer Protocol) : TPC, UDP 조합형

3) Internet Layer(인터넷 계층)
 - 호스트간의 라우팅을 담당
 - 호스트를 식별하기 위한 논리적인 주소로 IP를 사용한다.

 ->주요 프로토콜
 - IP : 비신뢰성, 비연결지향 데이터그램 프로토콜
 - ICMP : 에러 및 상태진단 메시지 프로토콜
 - IGMP : 멀티케스트용 프로토콜
 - ARP : 주소변환 (논리->물리) 프로토콜
 - RARP : 역주소변환

4) Network Interface Layer(네트워크 인터페이스 계층)
 - 인접한 노드 간에 신뢰성 있는 데이터전송을 담당
 - 물리적 주소 MAC(48bit)을 사용, 물리적 MAC Address는 24/24bit로 구성 되는데 상위는 벤더코드, 하위는 벤더가 할당한 일련번호를 의미

 -> 주요 프로토콜
 - LAN(Local Area Network) : Ethernet, TokenRing, FDDI 등
 - WAN(Wide Area Network) : X.25, Frame, Relay, PPP 등

@ ARP/RARP 프로토콜

1) RARP
 - 물리적인 MAC주소를 논리적인 IP주소로 변환해주는 역할을 수행하는 포로토콜
 - 일반적으로 IP주소는 시스템의 하드디스크내의 설정파일에 저장이 되어 있지만 하드디스크가 없는 터미널의 경우에 초기 가동될떄 자신의 MAC주소를 담아 RARP 요청을 만들어 자신의 IP주소 정보를 받아오게 된다. MAC에 해당하는 IP주소정보를 관리하는 RARP서버가 구성되어 있어야 한다.

2)ARP 동작방식
1. 최초 상대방의 물리적인 주소를 알지 못하기 때문에 ARP Request 메시지를 만들어 Broadcast한다.
2. 타겟 호스트에서는 arp reply메시지를 만들어서 응답한다. 응답메시지에는 타겟 호스트의 mac주소 정보가 담겨있으며 응답자는 요청자의 mac주소를 알고 있으므로 unicast 방식으로 응답을 준다.
3. 각 시스템은 arp cache가 있고 cache에 이 정보를 보관해 둔다.

3) RARP 동작방식
1. 최초 자신의 논리적인 ip 주소를 알지 못하기 때문에 자신의 mac정보를 담고 있는 rarp request 메시지를 만들어 broadcast한다.
2. rarp server 요청자의 ip주소정보를 담은 rarp reply메시지를 만들어서 요청자의 mac주소로 unicast방식으로 응답해준다.

4) arp cache table 확인
 - arp -a : 캐시 내용보기
 - arp -d : 캐시 내용 지우기
 - arp -s : 정적 설정, static으로 설정된다.

5) arp spoofing 공격(arp cache poisoning)
 -  공격자가 특정 호스트의 MAC 주소를 자신의 MAC주소로 위조한 ARP Reply를 만들어 희생자에게 지속적으로 전송하면 희생자의 ARP cache table에 특정 호스트의 mac정보가 공격자의 mac정보로 지속적으로 변경이된다. 이를통해 스니핑이가능
 - 일반적으로 희생자 arp cache의 gatway주소를 공격자 mac주소로 변조시켜서 외부로 나가는 데이터를 감시한다. 이를 arp redirect공격이라 한다.
 - arp spoofing은 2계층 주소인 mac주소를 속여서 트래픽을 스니핑하는 것이므로 2계층에서 동작을 하게 된다. 2계층 주소는 서로다른 네트워크로 라우팅되지 않으므로 공격대상도 동일 네트워크 대역에 있어야한다.
 
6) GARP(Gratutious ARP)
 - Send IP와 Target IP가 동일한 요청을 GARP라고 한다.
 - 자신의 MAC 정보를 동일 네트워크상의 다른 장비들에게 알려 cache table 을 갱신하도록 하는 목적이다.