- 사용자가 사용하는 서비스
- WWW, E-mail, 파일전송, 원격접속
- 코드변환, 압축, 암호화
- 수신측 코드로 변환
- 프로세스 간 연결/전달, 활성화된 상태
- 대화관리, 복구를 위한 동기점 관리
- 종단 간 전송 보장, 신뢰성 향상
- 순서 제어, 오류 제어, 흐름 제어, 연결 제어
- 세그먼트 단위
- 포트번호 (0 ~ 65535)
- IP주소: 고속 전송, 비연결
- 패킷(데이터그램) 단위
- 라우팅
- 순서 제어, 오류 제어, 흐름 제어, 동기화
- 이웃 간 전송
- 프레임 단위
- MAC 주소 (6Byte)
- 전송매체를 통한 비트열 전송
- 유선, 무선
- 기계적, 전기적, 기능적, 절차적
-
HTTP: 웹 페이지 전달 (80)
-
SMTP: 이메일 송신 (25)
-
POP3(110), IMAP(143): 이메일 수신
-
MIME: 멀티미디어+이메일
-
PGP, S/MIME, PEM: 이메일 보안
-
FTP: 파일전송 (데이터 20, 제어 21)
-
TELNET: 원격접속 (23)
-
DHCP: 동적 IP 할당
-
DNS: 도메인 이름 ↔ IP 주소 (53)
-
SNMP: 망관리 (161) (네트워크 구성 관리, 성능 관리, 장비 관리)
-
TFTP: 간이 파일 전송 (69)
-
RTP: 실시간 전송
-
VoIP: 음성 데이터 전송
- SSL/TLS
- SSH
- DTLS
- TCP (연결형)
- TCP 헤더 내 제어 플래그: URG - ACK - PSH - RST - SYN - FIN
- UDP (비연결형)
- 체크섬: TCP(데이터 체크섬), UDP, IPv4(헤더 체크섬)
- IPSec: 기밀성(ESP), 인증(AH), 키관리(IKE)
- ICMP(제어메시지 생성), IGMP(그룹 관리)
- IP(비연결형)
- IPv6: 출발지에서만 단편화 가능, 중간 라우터에서 불가능
- IP 헤더: TTL, 목적지 IP주소, 송신지 IP주소, 데이터그램의 상위 프로토콜을 알려주는 값
- 사설 IP: 10.0.0.0 ~ 10.255.255.255, 172.16.0.0 ~ 172.31.255.255, 192.168.0.0 ~ 192.168.255.255
- ARP(IP주소 → MAC주소), RARP(MAC주소 → IP주소)
- 내부 게이트웨이 라우팅: OSPF(링크 상태 알고리즘, 전체 라우터, 갱신 시 교환), IS-IS(링크 상태 알고리즘), IGRP(거리 벡터 알고리즘), RIP(거리 벡터 알고리즘, 이웃 라우터끼리, 주기적 교환)
- 외부 게이트웨이 라우팅: BGP(경계 벡터 알고리즘)
- LLC: PPTP, L2F, L2TP - 터널링, HDLC, SLIP/PPP
- MAC: Ethernet (IEEE 802.3 CSMA/CD), FDDI(IEEE 802.5 토큰링), CSMA/CA
- 물리: 유선, 무선
- ping: 지정한 IP주소 통신 장비의 접속성을 확인(ICMP)
- netstat: 현재 네트워크 연결 상태 정보
- tracert: 목적지까지의 경유 라우터 정보(UDP/ICMP)
- route: IP 라우팅 테이블 내용
- ipconfig: 네트워크 인터페이스 설정
- arp: 목적지 IP주소에 대응하는 MAC주소
- 디폴트는 Non-Promiscuous mode: 자신의 MAC주소가 아닌 패킷 무시/필터링
- 내 MAC주소가 아닌 패킷도 받음
- 위조된 MAC주소를 지속적으로 보내 스위치의 MAC주소테이블이 가득 차게 함 → 스위치는 모든 네트워크 세그먼트로 트래픽 브로드캐스트
- ping 이용
- arp 이용
- dns 이용
- decoy
- arp watch 이용
- 프레임 죽시 전송
- 오류 발생 시 목적지 장치에서 폐기
- 버퍼에 보관 & 에러 확인 후 프레임 전송
- 평소: 컷스루 방식, 오류 발생 시: 저장 후 전송 방식 자동 전환
- 공격자는 ICMP 리다이렉트 메시지를 공격 대상에 보내 자신이 공격 대상자의 게이트웨이가 됨
- 공격 대상자가 보내는 모든 메시지가 공격자에게로 전달
- 자신이 보내는 메시지 안의 IP 헤더의 출발지 IP 주소를 변조
- IP 주소 기반의 trust 관계를 맺지 않는 방법으로 예방
- 공격 대상자의 패킷을 도청하다가 DNS 요청이 전달되면 변조된 DNS 응답을 먼저 전달
- DNS 서버 자체가 가진 IP 주소 자체를 변조
- DNS 응답 정보에 전자서명 값을 첨부
- A : 도메인 이름에 IP 주소를 mapping
- PTR : IP 주소에 도메인 이름을 mapping
- Open DNS Resolver 서버를 이용하여 DNS 쿼리의 type을 any로 설정하는 공격
- 존재하지 않는 클라이언트가 한정된 접속공간에 접속한 것처럼 속여, 다른 사용자가 서버의 서비스를 제공받지 못하게 함
- 대기 큐의 크기를 늘리거나 최대 접속 대기 시간을 줄여서 해결
- ICMP 프로토콜과 브로드캐스팅 개념을 사용한 공격
- 공격대상 호스트의 IP주소로 위장된 소스 IP주소를 갖는 ICMP Echo 메시지를 브로드캐스트함으로써 많은 양의 ICMP Echo 응답 패킷을 공격대상 호스트에 전송
- 소스 IP와 목적지 IP를 동일하게 보내 네트워크에 SYN 패킷이 넘치도록함
- 비정상 패킷으로 패킷 재조립을 방해
- ICMP Echo 메시지를 이용하여 서버에서 처리할 수 없는 크기의 패킷을 세분화하여 보내서 시스템 자원이 패킷 재결합 때문에 고갈됨
- no-store, must-revalidate 옵션을 사용하면 웹 서버는 캐시를 사용하지 않고 응답하므로 웹 서비스의 부하가 증가함
- 특정 웹 페이지를 웹 서버가 감당하지 못하게 여러 에이전트가 동시에 요청
- 공격 대상자의 IP 주소로 변조된 UDP 메시지를 멀티캐스트 주소 방식으로 에이전트들에게 보냄
- 에이전트들은 메시지의 출발 주소인 공격 대상자에게 UDP Echo 응답을 보냄
- 공격자 단독 공격
- 비정상적인 요청
- 좀비 PC / 에이전트를 이용한 다수의 공격자 존재
- 비정상적인 요청
- 정상 서비스 중인 반사 서버를 이용한 다수의 공격자 존재
- 정상적인 요청
- 현재 연결 중인 session(컴퓨터 간의 활성화된 연결)을 가로채기 위한 공격
- 비동기화 상태 탐지
- ACK Storm 탐지
- 패킷의 유실과 재전송 증가 탐지
- 기대하지 않은 접속의 Reset