APP 패킷 분석 보고서

(WireShark 를 이용한 패킷 확인)

학과: 사이버경찰학과

학번: 10111028이름: 이희태

목차

1. 패킷이란 ?

2. MAC 주소란 ?

3. ARP 란 ?

4. ARP 패킷이란?

5. WireShark 란 무엇인가? 그리고 WireShark 를 사용한 ARP 패킷 확인

# 패킷(Packet)이란 ? [출처:네이버 컴퓨터 인터넷 IT 용어 대사전]

1. 데이터 통신 시스템에서 컴퓨터 중계를 하는 역할을 갖는다. 문자나 숫자의 정보인 메시지를 하나의 컴퓨터에서 다른 컴퓨터로 보낸다. 이 메시지에는 소포, 우편물과 마찬가지로 화물 부분과 수신처가 붙어 있는데, 데이터 통신 교환 시스템에서 다루어지는 데이터 단위로 헤더와 데이터부가 바로 그것에 해당되는 것이며, 헤더는 주로 이 패킷의 수신지에 관한 정보를 포함한다. 패킷의 최대 길이는 각 시스템에서 정해져 있으며 이 크기보다 긴 메시지는 몇 개의 패킷으로 분할하여야 한다. 이렇게 해두면 메시지는 분실 될 염려가 없고 확실하게 상대편에 머무른다.

2. 특정의 형식으로 배열되고, 전송의 처리 과정에 의해서 정해지는 하나의 정리로서 전송되는 데이터 및 제어 비트열이다.

# MAC 주소란 ? [출처: 네이버 IT 용어사전]

1. 이더넷의 물리적인 주소, 이더넷 카드의 읽기용 기억 장치(ROM)에 기록된 것으로서 주소 크기는 48 비트인데, 미국 전기 전자학회(IEEE)가 전반부 24 비트를 벤더에 할당하면, 벤더 측은 후반부 24 비트에 대해 세부 할당을 한다. 통신망 운용 상태를 검사하기 위한 모니터 초기 화면에는 각 기계의 이름이 미리 망 관리 인터페이스 카드(NIC:network interface card)에 할당되어 MAC 주소(MACA)로 표시되어 있다. 이것만으로는 기계명을 분간하기 어려우므로 메뉴의 ‘캡쳐’로 ‘모든 이름의 검색’을 선택, MACA 를 기계명으로 변환해 둔다. 일반적으로 48 비트 길이이며, 통상 개인용 컴퓨터(PC)나 구내 정보 통신망(LAN) 기기의 LAN 접속구상의 ROM 에 기입해 두고, MAC 층 데이터 프레임의 앞쪽(머리부)에는 송신처와 주소를 지정해서 사용한다.

# ARP 란? [출처: 두산백과]

1. ARP 는 네트워크 계층 주소(예: 인터넷 IP 주소)를 물리 주소(예: 이더넷 하드웨어, 즉 어댑터 주소 또는 MAC 주소)로 변환하기 위해 사용된다.

2. 인터넷 상에서 호스트 간의 전송은 IP 주소를 기반으로 이루어진다. 송신 호스트는 수신 호스트의 IP 주소를 이용해 데이터 송신을 시도한다. 이때 실제 송신 호스트의 송신 어댑터에는 IP 패킷을 포함하고 있는 링크 계층 프레임을 구성한다. 링크 계층은 하나의 노드(네트워크에 연결된 하나의 컴퓨터 혹은 장비)와 다음 노드 사이의 데이터 전송을 담당한다. 링크 계층 프레임은 IP주소가 아닌 목적지의 MAC 주소를 포함해야 한다. 이를 위해 송신 호스트는 자신의 네트워크 어댑터 내의 APP 모듈에게 목적지의 IP 주소에 대해 질의하고 ARP 모듈은 이에 대응하는 MAC 주소로 응답한다.

3. 송신 호스트는 전송하고자 하는 수신 호스트의 IP 주소에 대한 MAC 주소를 ARP 테이블로부터 찾아 이를 이용해 데이터그램(네트워크 계층 패킷)을 구성한다. 만약 ARP 테이블에 목적지에

대한 매핑 엔트리가 없다면, 이 경우 송신 노드는 ARP 프로토콜을 사용하여 ARP 질의 패킷을 구성한다. ARP 패킷은 송신 및 수신 호스트의 IP 주소와 MAC 주소를 포함하는 필드를 가진다. 송신 호스트는 자신의 어댑터에게 MAC 브로드캐스트 주소(FF-FF-FF-FF-FF-FF)로 ARP 질의 패킷을 전송하도록 하여 서브넷 상의 모든 호스트 및 라우터에게 목적지 IP 주소에 해당하는 MAC 주소에 대해 질의한다. 서브넷 상의 모든 호스트들은 ARP 질의 패킷을 수신한 후, 자신의 ARP 모듈로 전달한다. 각각의 ARP 모듈은 질의 패킷 내의 목적지 IP 주소가 자신과 일치하는지 검사한 후, 일치한다면 자신의 MAC 주소를 포함한 ARP 응답 패킷을 돌려보낸다. 송신 호스트는 이 목적지 MAC 주소를 이용해 자신의 ARP 테이블을 수정한다. 그 후 테이블 내의 IP 주소 – MAC 주소의 매핑 정보를 이용해 IP 패킷을 전송한다.

4. ARP 는 동일한 서브넷 (라우터를 거치지 않은 분리된 네트워크) 상에 있는 호스트나 라우터

인터페이스의 IP 주소에 대해서만 주소 변환을 제공한다. 즉, 다른 서브넷 상의 ip 주소에 대응하는 물리 주소를 알아내고자 한다면 ARP 는 오류 메시지를 반환한다. 따라서 송신 호스트가 라우터 외부의 다른 서브넷 상의 호스트로 데이터 패킷을 전송하고자 하는 경우 내부적으로 다음과 같이 처리된다. 송신자로부터 목저지로의 경로 상에 있는 첫 번째 라우터로 우선 전달된다. 패킷을 수신한 라우터는 포워딩 기능을 이용해 이를 목적지 서브넷 상으로 전달하며, ARP 프로토콜을 이용하여 최종 목적지의 MAC 주소를 알아내 패킷을 구성한 후 목적지 호스트로 전송한다.

# ARP

패킷이란 ? [참고: 정보통신기술용어해설]

1. 주로 요청과 응답을 통해 망계층의 IP 주소 및 데이터 링크 계층의 MAC 주소 정보를 조회하고 알려주는 패킷

2. ARP 패킷 구조

Hardware type Protocol type

Hardware length Protocol length Operation

Sender Hardware Address

Sender Protocol Address

Target Hardware Address

Target Protocol Address

3. ARP 패킷의 구성 필드별 설명

- Destination MAC Address (6 바이트)

(ARP 요청인 경우 FFFFFFFF, ARP 응답인 경우 요청한 노드의 MAC 주소.

- .Source MAC Address (6)

- Ethertype (2)

- Ethernet Protocol Type

(ARP -> 0x0806 RAR -> 0x0835)

여기서부터가 실질적인 ARP 패킷임.

- Hardware type (2)

1. 사용중인 Hardware 주소 타입을 나타내는 필드, 네트워크 유형을 나타냄.

2. RFC 1060 에 각 타입이 기술되어 있음.

Type 하드웨어 타입 설명

1 Ethernet (10Mb)2 Experimental Ethernet (3Mb)3 Amateur Radio AX254 Proteon ProNET Token Ring5 Chaos6 IEEE 802.3 networks7 ARCNET8 Hyperchnnel9 Lanstar10 Autonet Short Address11 LoadTalk12 LocalNet (IBM PCNet or SYTEK LocalNET)

- ARP 에 대한 모든 알려진 하드웨어 목록 번호.

(http://www.iana.org/assignments/arp-parameters/)

- Protocol type(2)

1. 어떠한 유형의 프로토콜(IPv4, IPv6, ATM 등)을 사용하는 가 정의.

- Hardware Address Size, Hardware length (HLEN) (1)

1. 이더넷의 경우 (6)

- Protocol Length/Size (1)

1. 논리 주소인 망꼐층 주소의 크기, IPv4 는 4

- Operation Code (2)

1 현재 ARP 패킷이 다음 중 어떤 종류인지를 가르킴.

a. ARP Request (요청) = 1. ARP Reply(응답 = 2

b. RARP Request =3. RARP Reply = 4

- Sender Hardware Address (Sender Ethernet Address) (6)

- Sender Protocol Address (Sender IP Address) (4)

- Target Hardware Address (Target Ethernet Address) (6)

1. ARP 요청의 경우에 송신자의 MAC 주소 및 IP 주소, 목적지의 IP 주소는 채워 놓지만

목적지 MAC 주소는 0 으로 채워진다.

- Target Protocol Address (Target IP Address) (4)

다음 페이지

# WireShark 란 무엇인가? 그리고 WireShark 를 사용한 패킷 확인.

A. WireShark 란 네트워크를 분석하는 도구이다. 네트워크 패킷을 캡쳐하고 이 패킷 데이터를 가능한 자세하게 보여주는 프로그램이다. 또한 WireShark 는 공개된 오픈 소스이므로 누구나

무료로 사용 가능하다.

1. 먼저 WireShark 를 다운로드 후 실행하면 다음과 같은 화면이 실행된다.

다음 페이지

2. 메뉴의 Capture 을 클릭 한 후 Start 를 클릭하면 다음과 같이 패킷의 교환이 확인되는데, ARP Protocol 을 확인하고 싶은 것이기 떄문에 초록색 공간에 Arp 를 검색하여 확인한다.

- Sender MAC/IP Address 와 Target MAC/IP Address 가 서로 바뀐 부분을 확인 하면 서로 다른 MAC/IP 주소가 패킷을 교환한 것을 확인 할 수 있다.

이상입니다.