1. Introduction to Multicast Address1) Introduction to Multicast Address한 번의 전송으로 데이터를 특정 그룹에 있는 여러 장비에 동시에 전송하는 것을 의미IP의 Multicast는 D Class를 사용  2. Network Devices Receives Multicast1) Hub Receives MulticastUnicast, Multicast, Broadcast 등 어떤 프레임이 수신되어도 Flooding 2) Bridge Receives MulticastS-MAC Learning 하고 D-MAC이 Multicast임을 확인하고 Flooding 패킷의 D-MAC이 FDB에 정보가 있으면 Known Unicast로 분류하여 Forwarding패킷..

1. Introduction to Unicast Address1) Introduction to Unicast Address특정 장비의 고유 주소로 식별된 하나의 네트워크 목적지로 데이터를 송신하는 방식일반적으로 1:1 또는 One-to-One 통신이라고 명칭  2. Bridge and Switch Receives Unicast모든 네트워크 장비들은 패킷을 수신하면 S-MAC Learning 하고 D-MAC을 확인Bridge와 Switch는 수신한 패킷의 D-MAC이 본인과 일치하면 본인이 처리해야 하는 상위 Layer의 Header 정보를 확인하며 이때, Bridge나 Switch에 IP 설정이 없으면 수신한 패킷의 상위 Layer 정보와 비교할 대상이 없으므로 해당 패킷은 Drop1) Hub Recei..

1. Introduction to TracerouteTraceroute는 ICMP Time Exceeded(TTL Expired)를 이용하는 애플리케이션Traceroute는 D-IP로의 전달 경로와 각 홉마다의 전송 지연 시간을 표시 Traceroute에서 사용하는 프로토콜은 OS마다 상이 Windows : ICMP Cisco, Juniper Nokia : UDP Linux : ICMP, UDP, TCP(Option으로 선택 가능)  2. Traceroute 동작 과정아래 글은 'traceroute' 입력 시, ICMP Request 패킷을 전송하는 것으로 설명하였지만 EVE-NG의 VPC 특성으로 Wireshark는 UDP로 Capture하여 첨부PC1→PC2로 Traceroute를 실행PC1은 D-I..

1. ICMP RedirectICMP Redirect는 네트워크에서 최적화된 경로를 제공하기 위해 설계되었지만 공격의 목적으로 사용될 수 있으므로 주의가 필요 PC1에서 'ping 1.1.2.2'를 입력하면 ICMP Request를 생성하여 게이트웨이인 R1으로 전송R1은 D-MAC이 본인이고 EtherType이 IP이고 D-IP가 데이터를 수신한 인터페이스가 아니므로 라우팅 테이블을 참조하여 Longest Match Rule에 의해 매칭되는 Entry가 있는지 확인R1은 수신한 ICMP Request의 D-IP인 1.1.2.2에 대한 Next-Hop이 ICMP Request를 수신한 동일 인터페이스이며 동일 Broadcast임을 확인하고 아래 두 가지의 동작을 수행Broadcast가 동일하지만 인터페이..

1. ICMP Time Exceeded 'Traceroute' 애플리케이션은 ICMP Time Exceeded을 사용 PC1에서 'ping 192.1.3.1 -T 2'를 입력하면 TTL이 2인 ICMP Request를 생성하여 게이트웨이인 R1으로 전송R1은 D-MAC이 본인이고 EtherType이 IP이고 D-IP가 데이터를 수신한 인터페이스가 아니므로 라우팅 테이블을 참조하여 Longest Match Rule에 의해 매칭되는 Entry가 있는지 확인R1은 수신한 ICMP Request의 D-IP인 192.3.1.2에 대한 Next-Hop을 확인하고 TTL 1 감소 후에 전송R2도 수신한 ICMP Request의 D-IP인 192.3.1.2에 대한 Next-Hop을 확인하고 TTL 1 감소 시, 0이 ..

1. ICMP Destination UnreachableICMP Type 3인 Destination Unreachable에는 많은 Code 값들이 존재하만 Network Unreachable 및 Host Unreachable을 가장 많이 사용1) ICMP Destination Network UnreachableICMP Destination Unreachable은 Destination Network로 가는 Route가 없을 때 S-IP로 전송PC1에서 'ping 10.1.1.1'을 입력하면 ICMP Request Packet을 생성하여 Router로 전송Router는 D-IP가 속할 수 있는 네트워크가 라우팅 테이블 Entry에 없음을 확인하여 ICMP Request의 S-IP인 1.1.1.1에게 ICMP..

1. ICMP RequestType : 8 및 Code : 0으로 ICMP Request임을 확인Identifier Field는 해당 Field 값으로 서로 다른 ICMP Request/Reply를 구분Sequence Number Field는 연이어 전송하는 Identifier 값이 동일한 ICMP Request/Reply를 구분'BE' 및 'LE'는 실제 Header의 정보가 아니라 Header의 정보를 Wireshark가 표시하는 방식 중 일부 Wireshark에서 '[ ]'로 표시하는 정보는 Header 정보를 보여주는 것이 아니라 Wireshark 프로그램이 자동으로 추가하여 사용자가 보기 편하도록 제공하는 것  2. ICMP ReplyType : 0 및 Code : 0으로 ICMP Reply임을..

1. Introduction to ICMP(Internet Control Message Protocol)1) Introduction to ICMP(Internet Control Message Protocol)ICMP는 네트워크 진단이나 관리의 목적으로 설계되어 사용일반적으로 많이 사용하는 Ping, Traceroute는 ICMP를 활용한 애플리케이션  2. ICMP Header1) 공통 HeaderICMP Header에 Type, Code로 기능별 종류를 구분ICMP Header는 상위 프로토콜 구분자가 없으며 TCP 또는 UDP와 미연결ICMP는 각 Type에 따라 다른 Format을 갖지만 4byte의 공통 Header(Type, Code, Checksum)를 보유TypeCodeDescription0..

1. Proxy ARP 동작 과정 - Case 1Device에 IP Address 및 Subnet Mask를 잘못 입력했을 때 PC1↔PC2 간에 통신 과정을 설명1) PC1 → PC2 데이터 전송 과정PC1에 'ping 1.1.1.129'를 입력하면 다른 Broadcast Domain에 존재한다고 판단하여 Gateway인 1.1.1.2의 MAC Address를 알기 위해 ARP Request를 전송Switch는 D-MAC이 Broadcast임으로 Flooding Switch는 ARP Request를 수신하고 S-MAC Learning Switch는 ARP Request를 수신하고 Target Protocol Address가 본인이므로 ARP Learning Switch는 D-MAC이 Broadcast..

1. Device 별 Gratuitous ARP 처리 과정1) Host Gratuitous ARP 처리 과정Host는 수신한 패킷의 EtherType 및 Opcode 정보를 확인하여 ARP Request 패킷임을 알 수 있지만 Target Protocol Address가 본인과 다르므로 ARP Learning을 하지 않고 Drop 2) Switch Gratuitous ARP 처리 과정Switch는 ARP Request를 수신하면 S-MAC Learning을 하고 D-MAC이 Broadcast임을 확인하고 FloodingEtherType 및 Opcode 정보를 확인하여 ARP Request 패킷임을 알 수 있지만 Target Protocol Address가 본인과 다르므로 ARP Learning을 하지 않..