IP(Internet Protocol)
layer 3계층 프로토콜로
UDP 와 같이 비연결 지향 프로토콜이며
주 역할은 로컬 환경에서 리모트 환경으로 데이터 전송을 담당한다.
IP 헤더안 모습
IP Precedence(IP 우선 순위)
앞에 3비트는 IP 의 우선순위를 나타낸다.
3bit는 최대 7의값을 가진다. 2^3 = 0~7
값이 클수록 우선순위가 높은 패켓으로 처리됨
만약 A의 값이 2고 B의 값이 5이면
B가 우선순위를 가짐
혼잡발생시 QOS 정책에서 사용하는 서비스라고 알아두자.
값이 다 똑같으면 먼저들어온게 먼저 나간다.
TTL 은 Time to Live 의 약자로
살아있는 시간이라는 뜻으로
거리측정과 루프방지에 쓰인다
PC 에서 다른 PC 로 ping 을 보냈을 때
라우터 하나를 거칠 때 마다 TTL 의 값은 1씩 줄어든다.
그렇기 때문에 잘못된 경로로 루프가 발생해도 값이 0이 되면 패켓이 드랍되면서
없어지므로 장비의 부하를 방지할 수 있다.
[참고] 운영 체제 TTL 기본값
- Cisco 255
- Window 128
- Linux 64
나의 DNS 서버인 KT DNS 서버로 핑을 보내봤을 때
KT DNS 서버는 리눅스 운영체제를 사용한다고 추측할 수 있고
내 PC 와 서버사이에는 10개의 라우터가 있다고 확인할 수 있다.
ICMP (Internet Control Message Protocol)
IP 프로토콜 도우미로
IP 프로토콜을 이용하여 데이터 요청 및 응답이 가능한지 테스트하는 도우미이다.
Ping 명령어나 tracert 명령어를 사용하면
icmp echo-request 를 보내고 echo-reply 를 응답받는다.
echo는 메아리라는 뜻이고 통신이 잘 되는지 확인할 수 있는 도우미이다.
위 그림은 사이즈를 조종하는 옵션을 사용해서 보내본 사진
너무 크게 보내면 공격으로 간주할 수 있기 때문에 범위가 제한되어 있는 것을 볼 수 있다.
네이버로 icmp 를 보내보면
응답이 오지 않는다.
하지만 인터넷을 접속하면 잘 된다. 이유는 방화벽 때문이다.
이건 icmp echo-request 를 받으면 응답(icmp echo-reply)을 해줘야 하는데
공격자가 Ping of Death 라고 불리우는 icmp 를 무수히 많이 보내는 공격을 하면
서버가 응답하다가 지쳐서 부하가 발생해 서버가 터져버리는 상황이 될 수 있기 때문에
막아놓은 것이다. 구글 같은 경우에는 일정 이상은 응답을 해주다가 심하면 차단 시켜버린다.
위 그림은 각 각 ICMP type 으로 알아두자
tracert 는 해석 그대로 추적을 하는 옵션으로
TTL 값을 1로 설정해서 메시지를 보내고 응답을 받아서 도착을 하지 못한 것을 확인하면
TTL 값을 계속 1씩 증가시켜서 해당 목적지에 도착할 때까지 계속 추적을 하는 것이다.
세팅을 할 때는 한번에 3개씩 보낸다.
추적이 완료된 모습
ARP ( Address Resolution Protocol)
주소 해결 프로토콜로 상대방의 IP 주소를 MAC 주소로 변환하는 프로토콜이다.
A 가 C 에게 통신을 하려고 할 때 ping 명령어를 사용한다.
통신이 되려면 상대방의 MAC 주소를 알아야 통신이 가능한데
위 그림에서 보면 처음에 arp -a 명령어를 쳐봤을 때
MAC 주소를 등록해놓는 테이블이 비어 있다.
하지만 icmp 를 한번 보내고 응답을 받은 후
ARP 테이블을 보면 상대방의 MAC 주소가 등록 된 것을 볼 수 있다.
icmp 를 보내기전에 ARP 브로드캐스트 메시지를 같은 네트워크안에 뿌리고
C로부터 ARP 유니캐스트 응답을 받아서 주소가 확보되고 난 후에
icmp 메시지가 나가는 것이다.
ARP 브로드캐스트는 브로드캐스트니까
B 도 ARP 브로드캐스트 요청메시지를 받지만
Ehternet 헤더를 보고 브로드캐스트여서 디캡슐레이션 하고
ARP 요청을 보면 자신에게 온 것이 아니니 패킷을 드랍한다.
같은 네트워크에 ARP 브로드캐스틀 뿌리는
ICMP 는 IP 도우미고
ARP 는 이더넷 도우미라는 것!
