DarkSoul.Story

FTP는 TCP상에서 파일 전송에 사용되고, TFTP(Trivial File Transfer Protocol)은 UDP를 사용한다. 여기서는 TFTP를 제외한 FTP만 다룬다. 일반적으로 FTP 통신에서 명령 채널은 FTP서버 21번 포트를 사용하며, 파일 즉, 데이터 전송을 위한 데이터 채널은 동적 포트를 사용한다. 많이 알고 있는 것과 같이 데이터 채널은 20번 포트를 사용한다고 정의되어 있지만 실제적으로 FTP 패킷을 살펴 보면, 동적 포트가 사용되는 것을 알 수 있다. FTP연결은 TCP통신을 하기 때문에, 처음 3-way handshaking 과정을 거친 후 클라이언트가 명령어를 입력하면, 서버는 숫자 코드로 응답을 한다. 아래는 클라이언트 명령어와 서버 응답 코드의 일부 이다. 클라이언트 명령..

Analysis 2013. 1. 30. 11:31

TCP는 두 장치 간에 핸드셰이킹(Handshaking) 연결을 통해 연결 지향형 전송을 한다. 데이터가 제대로 목적지에 전송되었는지 확인하기 위해서 순서를 부여하고, 잃어버린 패킷에 대해 자동으로 복원을 한다. 대부분의 파일 전송 프로토콜은 데이터가 오류 없이 제대로 전송되었는지 확인하기 위해 TCP를 사용한다. 여기서는 TCP 패킷의 구조에 대해서만 언급 하겠다.[그림.1 TCP 헤더 구조] 1. Source Port / Destination Port출발지와 목적지의 서비스 포트 번호 할당된 포트 목록은 http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml에서 확인 할 수 있다. 2. Seque..

Analysis 2013. 1. 30. 11:27

DHCP는 다양한 설정 옵션에 대한 비 연결형 서비스를 제공하기 위한 전송으로 UDP를 사용한다.DHCP 통신에서 사용되는 기본 포트는 68번과 67번을 사용한다. 68번은 클라이언트 프로세스가 사용하는 포트이며, 67번은서버 데몬이 사용하는 포트 이다. DHCP 패킷은 기본적으로 다음과 같이 구성되어 있다. 최초 DHCP 요청의 경우에는 위와 같은 형태로 전송이 되지만 이미 한번 받았던 DHCP IP가 존재할 경우에 클라이언트는DHCP Request 부터 시도를 하게 된다. 물론 서브 측 에서는 DHCP Request 요청이 들어와도 IP가 이미 사용 되고 있다면, DHCP NAK(Negative Acknowledgment) 패킷을 전송하여, 클라이언트로 하여금 재 시도를 하게끔 한다. [그림.2 실제..

Analysis 2013. 1. 30. 11:24

DNS는 UDP나 TCP를 통해 실행할 수 있으며, TCP를 이용하는 경우는 Zone 전달이나 큰 DNS 쿼리를 보낼 때 이용 하며, 일반적으로 UDP를 이용하는 DNS 쿼리/응답 패킷만 볼 수 있다. DNS 메시지의 형태는 기본적으로 다음과 같이 구성 되어 있으며, 생략되는 경우도 있다. Header Question Answer Authority Additional [그림.1 DNS 메시지 기본 형태] [그림.1DNS 메시지 기본 형태]에서 제일 위에 있는 Header부분을 살펴 보도록 하자. ID OR Opcode AA TC RD RA Z RCODE QDCOUNT ANCOUNT NSCOUNT ARCOUNT [그림.2 DNS 헤더 구조] DNS Header는 총 12Byte로 이루어져 있며, 아래 [그..

Analysis 2013. 1. 30. 11:22

UDP는 전송계층 (Transport Layer)을 이용하는 어플리케이션을 식별한다.TCP헤더와 다르게 수신 확인 여부를 확인하는 정보 없이 패킷을 보내기만 하므로 포트 번호를 비롯한 전송에 필요한 정보만 포함한다. UDP는 단순한 4개의 필드(Source Port, Destination Port, Length, Checksum)로 구성된 8Byte헤더를 사용하기 때문에 특별히 문제가 발생하는 일이 드물다. Source PortDestination PortLengthChecksum [그림.1 UDP 패킷 구조] [그림.1 UDP 패킷 구조]의 구성 필드별 내용을 살펴 보면 다음과 같다. ① Source Port 이 필드는 2Byte의 길이를 가지고 있으며, 발신지(출발지) 포트 번호 정보를 가지고 있다...

Analysis 2013. 1. 30. 11:16

ICMP 패킷은 IP헤더 다음으로 ICMP Type, ICMP Code, ICMP Checksum 필드로 구성되어 있으며, 일부 ICMP 패킷은 정보나 메시지의 세부 사항을 제공하기 위해 추가적으로 ICMP Contents 필드를 포함한다. ICMP TypeICMP CodeICMP ChecksumICMP Contents [그림.1 ICMP 패킷 구조] 특수한 경우에 사용되는 ICMP Contents 필드를 제외한 ICMP Type, ICMP Code, ICMP Checksum 필드에 대해 살펴 보자. ① ICMP Type이 필드는 ICMP 메시지의 유형을 정의하며, ICMP 메시지 유형은 다음 표와 같다. CodesDescription0Net Unreachable1Host Unreachable2Proto..

Analysis 2013. 1. 30. 11:13

ARP 통신은 간단한 요청과 응답으로 구성되어 있으며, 호스트는 대상 IP주소를 포함하는 ARP 브로드캐스트를 전송한다. TCP/IP의 네트워크 계층의 ARP 데이터그램의 헤더는 아래와 같으며, ARP 요청 패킷과 ARP 응답 패킷 모두 같은 형식을 사용한다. Hardware typeProtocol TypeHardware Length (size)Protocol Length (size)OperationSender Hardware (MAC) AddressSender Protocol (IP) AddressTarget Hardware (MAC) AddressTarget Protocol (IP) Address[그림 1. ARP 패킷 구조] [그림 1. ARP 패킷 구조]의 구성 필드별 내용을 살펴 보면 다음과 같..

Analysis 2013. 1. 30. 11:08

1. 개요 와이어샤크(wireshark)메뉴 중 Edit에 대해 알아본다. 2. 테스트 환경 wireshark 1.6.4 3. 상세 분석 와이어샤크의 Edit메뉴는 와이어샤크 편집 메뉴로, 주요 역할은 패킷을 찾고, 환경설정등에 사용되는 메뉴이다. [그림1. 와이어샤크 Edit 메뉴] 1) Copy Copy 항목은 [그림2]와 같이 하위 항목으로 나누어져 있다. [그림2. Copy의 하위 항목] - Description (단축키 : Shift + Ctrl+ D) 패킷 상세보기 창에서 선택한 항목의 설명을 복사한다. 사용방법은 [그림3]에서 Maximum segment size 항목의 설명을 복사한다고 가정 하면 다음과 같다. ① 해당 항목을 클릭 한다. ② [Copy] - [Description] 클릭 ..

Analysis 2012. 12. 27. 21:25