Network - 03. 보안위협탐지준비

1. 전송계층(Transport layer)

전송 계층은 전송되는 데이터에 대한 신뢰성을 제공한다.
네트워크 상의 신뢰성이란 전송된 데이터가 잘못된 경우 재전송을 하는 것을 의미.
또 다른 의미로 일정 시간내에 데이터 전송을 완료함.

• 품질을 보장.
• 속도를 보장.

* port : 서비스를 받기 위해 사용되는 관문으로 표현. 서비스 유사 개념. 서비스에 대한 번호적 표현.

  • 종류
   1) 클라이언트 포트 : well-known 연결하기 위해 클라이언트가 사용. 1024~65535
   2) Well-known 포트 : 국제공인기구에서 인증하는 포트, 1~1023까지 사용. etc/services 파일에 등록되어 있음.

* FTP 서버

  IP : 222.116.158.161
  ID : user1
  Pass : 1234

1) UDP

전송계층의 속도적 측면의 품질을 보장하는 프로토콜. 속도 보장을 목적으로 하는
프로토콜 이므로 데이터 품질적 측면의 보장이 되지 않음.

     • Connection-less : 전송되는 데이터에 대한 대화 교류가 없음(일방적)
     • State-less : 전송된 데이터 상태에 대해 고려하지 않음.
          --> 전송 속도가 보장, 많은 데이터 전송이 가능.

     * 모니터링 방법 wireshark capture filter 영역에 "port 53" "udp and port 53" 필터 설정

2) TCP

전송되는 데이터의 품질을 보장하여 신뢰성을 높이는 프로토콜.
신뢰성을 높이기 위해 전송된 데이터에 이상이 발생할 경우 재전송 시행.
데이터의 품질적인 부분을 보장하기 때문에 UDP에 비해 통신 속도가 느림.

• Connection-oriented (연결지향형, 대화형) : 전송지와 주기적인 대화
• Stateful : 전송된 데이터의 상태를 점검
         --> 전송속도가 떨어짐, 다량의 데이터 전송에 불리
 * 전세계 사용되는 대부분의 통신 애플리케이션은 TCP를 사용.(90%)

• 통신 연결 전 3Way handshake 과정을 거친 후 실제 데이터 통신을 시작
       --> 통신 채널 동기화 및 승인을 위해 진행.
       --> 시스템의 접속 로그의 시작

• TCP Flag

       syn   :  동기화 통신임을 나타냄(대화 가능성 문의)
       ack   :  전송 받은 데이터에 대한 확인.
       push  :  서로 주고 받을 데이터, 애플리케이션에서 사용할 데이터.
       fin     :  전송 완료 및 연결 종료
       rst     :  reset 강제적으로 연결 종료
       urg    :  urgent 긴급 데이터 전송

• urgent point : 전송될 데이터의 flag가 urg인 경우 숨어있던 urgent point 필드가 나타남. 

                           urg 데이터 위치정보를 표시
  
• MSS(Maximum Segment Size = MTU)

     전송될 데이터가 잘 전송될 수 있도록 사이즈가 큰 경우 분할함을 의미.
     전송을 위해 분할되는 행위를 Segmentation이라 하고 분할된 데이터를 segment라 함.