[디지털포렌식전문가 2급 필기] 3-2-1. 네트워크 이해

ARP (Address Resolution Protocol)

- 목적지 IP 주소를 목적지 MAC 주소로 변환해 주는 프로토콜

- ARP 캐쉬는 가장 최근에 매핑된 IP와 하드웨어 주소를 관리

- ARP 스푸핑 공격의 원인이 됨

- 네트워크 주소(IP)는 알고 있지만 링크 레이어(이더넷) 주소를 모를 때 사용

- ARP Spoofing 공격에 대하여 취약점 존재

- 주소 매핑을 위해 브로드캐스팅 패킷을 이용하기도 함

- 논리적인 IP 주소를 물리적인 MAC 주소로 변경하는 역할

- ARP 패킷은 네트워크 계층을 통하여 다른 네트워크로 넘어갈 수 없음

- ARP 스푸핑 공격이란 잘못된 맥주소로 패킷을 보내는 것을 의미

NIC (Network Interface Card)

- promiscuous 모드로 변경하여 자신의 MAC이 아닌 패킷도 수신할 수 있음

- 데이터의 직/병렬 변환 기능을 수행

- 디지털 부호화 및 복호화를 수행

- 목적지 장비의 랜 카드는 데이터를 수신하고 CPU로 데이터를 전달

- 빠른 전송을 위하여 데이터를 코딩하고 압축

- 단순히 PC 혹은 네트워크에서 전달되어 오는 정보를 상호 교환할 수 있도록 만들어주는 역할

NAT (Network Address Translation)

- 개수가 한정되어 있는 IPv4 공인 주소를 효과적으로 사용하기 위한 것

- 내부 사설 네트워크 구조를 노출하지 않는 보안상의 이점이 있음

- 구현 방법에 따라 Normal NAT, Reverse NAT, Redirect NAT, Exclude NAT로 나뉨

터널링

- IPv6를 사용하는 호스트 컴퓨터들이 IPv4를 사용하는 네트워크 영역을 통과해야 할 때 IPv4 패킷 내에 캡슐화를 하는 방식

스위치

- OSI 참조 모델의 2계층에서 동작하는 네트워크 장비

인터넷 공유기 (IP 공유기)

- 하나의 IP를 이용하여 다수의 사용자가 인터넷을 이용할 수 있게 함

- 내부망에 접속된 기기들은 내부 IP를 사용하여 통신

- 서비스 포트를 달리게 설정하는 경우에 복수의 서버를 두고 외부에서 접속 가능

멀티플렉싱 (Multiplexing)

- IPv4 기반 환경에서 IPv6와의 호환을 위한 기술로 옳지 않은 것

UDP 프로토콜을 사용하는 응용 계층 프로토콜

- DHCP

- SNMP

성형 토폴로지 (Star Topology)

- 단말기들이 중앙 컴퓨터에 연결하는 방식

- 중앙집중식 혹은 방사형 네트워크

LAN의 토폴로지 형태에 해당하지 않는 것

- 베이스밴드 (Baseband)형

패킷 교환방식

- 정보 교환 네트워크에서 이용자의 데이터를 일정 단위로 나누어 각각에 송수신 주소를 부가하여 전송하는 방식

유니 캐스트

- 통신을 위해 전송되는 프레임 안에 출발지와 목적지의 맥 어드레스를 넣음

- 목적지는 하나

- 목적지 맥 어드레스와 같은 PC는 해당 프레임을 CPU로 올려서 전송

스크리닝 라우터(Screening Router)

- 일반 라우터에 패킷 필터링 규칙을 적용

- 규칙을 효과적으로 설정하면 빠른 처리 속도 유지 가능

- 세부적인 규칙 적용 어려움

OSI 7계층

- 데이터링크 계층 : 네트워크 계층에서 물리 계층으로 데이터 프레임을 전송

- 세션 계층 : 두 호스트에 존재하는 응용 프로그램이 통신할 때 일어나는 요청이나 응답에 관한 서비스 조정하는 역할

- 응용 계층 : 네트워크 서비스를 액세스할 수 있는 프로그램의 사용을 가능하게 함

OSI 7 Layer 모델의 1계층부터 7계층까지의 순서

물리-데이터링크-네트워크-트랜스포트-세션-프레젠테이션-애플리케이션

물리 계층

- 회선을 통해 신호를 전송하는 과정에서 외부로부터의 잡음으로 인하여 변형이 일어나거나 신호가 감쇠되어 미약해지는 것을 방지하기 위하여 신호를 증폭

데이터링크(Data-Link) 계층

- OSI 참조 모델 계층에서 통신 중 패킷 분실로 재전송을 요청할 수 있는 계층

- 네트워크 OSI 계층 참조 모델에서 목적지 주소, 출발지 주소, 제어 정보, 순환 중복 검사를 포함

- 프레임 데이터의 전송 과정 중 데이터 오류의 검출 및 회복과 흐름 제어를 조절하여 링크의 효율성을 향상시킴

네트워크 계층

- OSI 참조 모델에서 패킷을 송신측에서 수신측으로 전송하는 구간

- 상위 계층에 필요한 데이터 전송과 경로를 선택하는 기능을 제공

- ISO/OSI 7 계층 중 라우터가 동작하는 계층

- 데이터를 작은 패킷으로 분할하고 재조립하는 계층

트랜스포트(Transport) 계층

- OSI 모델에서 볼 때 세션 계층과 트랜스포트 계층에 해당하는 계층

- 도착하고자 하는 시스템까지 데이터를 전송하는 역할을 가진 TCP/IP 프로토콜 계층

- TCP/IP 구조에서 응용 계층에 해당하지 않는 OSI 7계층 모델의 계층

세션(Session) 계층

- 프레젠테이션과 트랜스포트 계층 사이에 위치

- 사용자간 다이얼로그 관리를 담당

- RPC(Remote Procedure Calls)를 이용하는 환경에서 주로 사용

TCP/IP 응용 계층 프로토콜

- HTTP(Hyper Transfer Protocol) : www의 웹 페이지 파일을 전송하는데 사용

- SMTP(Simple Message Transfer Protocol) : 이메일의 표준 전송 프로토콜

- SNMP(Simple Network Management Protocol) : 네트워크 관리를 위한 유용한 정보를 수집 및 간단한 네트워크 관리 정보 수정을 위한 프로토콜

IGMP (Internet Group Management Protocol)

- TCP/IP 프로토콜 중 응용 계층에서 동작하지 않는 프로토콜

SNMP (Simple Network Management Protocol)

- OSI 7 Layer 중 네트워크 계층 프로토콜에 해당하지 않는 프로토콜

TCP/IP의 응용 계층 프로토콜에 해당하는 프로토콜

- 웹 검색을 가능하게 하는 HTTP

TCP/IP 프로토콜의 네트워크 계층의 프로토콜과 거리가 먼 것

- SCTP (Stream Control Transmission Protocol)

TCP

- 신뢰성 있는 전이중 서비스

- 신뢰성 있는 데이터 전송과 관련 있는 TCP/IP 프로토콜

bridge vs 스위치

- 프레임 처리 속도는 bridge보다 스위치가 빠름

- bridge는 포트들이 같은 속도를 지원하는 반면 스위치는 서로 다른 속도를 연결해줄 수 있는 기능을 제공

- 스위치는 bridge에 비하여 제공하는 포트 수가 훨씬 많음

이더넷 프로토콜

ping 192.168.0.1 명령어에서 사용되는 ICMP 메시지

- ICMP Echo Request/Reply

'158.38.49.247/26'인 호스트에서 브로드캐스트 패킷을 보낼 때 패킷을 받을 수 없는 IP 주소

- 158.38.49.192

인터넷과 연동되지 않은 사적 독립 네트워크에 사용되는 사설 IP가 아닌 것

- 172.5.5.10

SPX

- 네트워크 OSI 7 Layer의 응용 계층에서 다루는 프로토콜이 아닌 것

주요 포트와 서비스

- 20번 : FTP

- 23번 : Telnet

- 80번 : HTTP

클라이언트가 서버에 접속하기 위한 서비스 포트 번호

- 443번 : HTTPS

- 161번 : SNMP

- 69번 : Gopher

53번 포트

- 공격자 IP를 수집하고 DNS 서버를 악용한 반사 공격인지 여부를 확인할 때 의미있는 포트