6일차는
- 네트워크 각 Layer에 사용되는 장비와
- wireshark를 사용해 네트워크 트래픽 데이터 Parsing 실습을 하였다.
1. 네트워크 장비
허브 - 1계층
- 전기적 신호를 단순하게 뿌려주는 장비
- 스위칭 허브 vs 더미 허브 : 더미허브는 한번에 복제 → 속도가 1/n로 떨어짐.
스위치 - 2계층
- 스위치 장비는 MAC주소로만 통신한다. MAC주소에 해당하는 스위치 포트(4계층 포트랑 다름)로 연결.(유니캐스트) 충돌이 나지 않음. 정보 보호에 도움.
- MAC address 테이블을 만듬. MAC 과 이더넷 포트 사이의 관계 테이블.
L3 스위치 - 3계층
- 관리하기 위한 목적으로 IP를 할당.
- L3스위치는 라우터 기능은 없음.
- VLAN 같은 것을 구성해 줌. 관리하기 편하게… 브로드캐스트 사이즈를 줄임.
- VLAN(Virtual Local Area Network) → 네트워크 대역 구성(라우팅과 매우 비슷) : 장비(물리적)에 상관없이 LAN을 논리적으로 분할, 구성하는 기술
라우터 - 3계층
- 최적경로 설정 / 병목현상 제거
- 라우팅프로토콜 탑재
- IOS(Internetwork Operating System) 탑재 : 연산처리가 필요 (2계층 장비부터? 필요하다.)
L4 스위치
- 이중화, HA(Hight Avaliability - 고가용성) 구성에 필요한 장비
- LB (Load Balancer - 로드밸런서)
- 네트워크를 클러스터링. 회선을 이중화. Raid와 비슷한 목적.
- fail over 방지
2. Wireshark 실습
Q1. ping 명령으로 호출하고 arp 부터 ping 요청 까지 정보가 나오도록 wireshark 에서 display filter를 선언해서 확인해주세요. (단 서로 sudo arp -d 명령으로 arp cache를 지우고 진행하세요.)
arp || icmp
Q2. 아래 두 명령을 진행하고
sudo apt install -y vsftpd ftp ufw
sudo systemctl start vsftpd
접속 과정을 wireshark로 확인 시, ftp 인증 정보만 나오도록 출력 해 주세요.
(참고로 접속과정을 ftp 로 접속 할 수 있습니다. 그리고 계정은 지금 사용자 계정 이용)
tcp.port == 21 && tcp.port == <할당된 포트>
(TCP Port = 21은 FTP 서버용 포트)
* Wireshark>Statistic>Conversation에서 패킷/데이터량으로 port확인 가능
Q3. nslookup yahoo.co.kr 정보만 확인 할 수 있도록 wireshark에서 필터링 해주세요.
udp.port == 53
(UDP Port = 53은 DNS 서버용 포트)
Q4. 아래 두 명령을 진행하고
sudo apt install -y openssh-server
sudo systemctl start sshd
서로 접속하고 접속을 종료하는 과정을 wireshark로 모니터링 하고 ssh로 TCP 통신 하는 과정을 필터링 해주세요.
tcp.port == 22 && tcp.port <할당된 포트>
(TCP Port = 22는 SSH 포트)
Q5. CLI 환경에서 tshark 사용해서 parsing
tshark - r text1.pcap -Y “tcp.port == 22 && tcp.port <할당된 포트>”
(wireshark로 pcap파일 저장)
- r로 파일 읽기
- -Y : 디스플레이 필터
- "쿼리"
