> DHCP 클라이언트는 관련 정보를 받기 위해 요청 메시지를 브로드캐스팅
> 브로드캐스팅 요청을 받은 DHCP 서버는 응답 메시지 전송
> 응답 메시지를 받은 노트북은 인터넷 서비스 사용가능 단계가 됨
> 검색 등을 위해 브라우저에 URL 작성
> HTTP Request 시 google.com의 IP Address 필요해서 DNS서버에 도메인명 보냄
> DNS서버는 IP Address 정보를 제공
> 서버와 커뮤니케이션 하기 위해서 TCP소켓 설정
> TCP SYN 세그먼트는 도메인을 거쳐 웹서버로 전달
> TCP SYNACK로 응답
> 클라이언트와 서버 간 통신 소켓(TCP 소켓) 생성 시 메시지 상호 전달 가능
> 소켓이 생성되어 메시지 전송 가능
> 클라이언트-서버 간 TCP 소켓 생성
> HTTP Request를 TCP 소켓을 통해 보냄
> HTTP Request를 포함하는 IP 데이터그램은 Google 서버로 전달
> 웹 서버는 HTTP Reply로 응답
> HTTP Reply는 라우터를 거쳐 클라이언트에게 전달
> 서버와의 네트워크 연결을 통해 서비스 이용
1) SYN 패킷 전송, ACK에 미응답
2) 서버는 ACK에 대한 응답을 511초간 대기
3) 완료되지 않은 연결에 대한 관리가 유한한 큐에서 이루어짐
4) 큐가 다 차게 될 경우 더 이상의 요청을 처리하지 못하게 됨
방화벽의 경우 합법적인 호스트와 서비스로부터의 트래픽만을 허용, 하지만 이러한 합법적인 호스트 및 서비스로의 트래픽도 공격에 활용되어질 수 있음 > 해결책 IDS
Intrusion Detection System
풋프린팅
여러 가지 스캔 기법
스캔은 서비스를 제공하는 서버의 작동 여부와 서버가 제공하는 서비스를 확인하는 방법
ex) TCP 기반의 프로토콜에서 요청(Request)을 보내면 응답(Response)을 전달해주는 것
스캔은 방화벽과 침입탐지시스템을 우회하기 위해 발전
Ping
TCP Open 스캔
가장 기본적인 스캔 기법
세션을 생성하기 위한 SYN 패킷 송신
스텔스 스캔
공격자에 대한 증거가 남는 TCP Open 스캔에서 발전한 스캔 방법
흔적을 남기지 않고 하늘을 나는 스텔스 전투기에서 따온 이름
세션을 완전히 성립하지 않고, 공격 대상 시스템의 포트 활성화 여부를 알아내기 때문에 공격 대상 시스템에 로그가 남지 않음
TCP Half Open
스캔의 시작은 TCP Open 스캔과 동일
UDP 스캔
ICMP 스캔
스캔 실습 - fping, nmap
네트워크 패킷
네트워크 패킷 분석 툴
네트워크 패킷 분석 툴 응용
WireShark DNS 캡처
DNS 캡처 패킷 보기
WireShark의 활용
언제 사용?
winpcap - 패킷 드라이브 - 모니터링 모드
인터페이스 - 기능(?)별 설명, 영상 참고
캡처 필터 : 캡처를 할 때 미리 필터링
화면 필터