와이어 샤크를 이용해 ip패킷 분석하기

 

 

\

Three Way Hand Shake

아래는 3 Way Hand Shake 과정입니다. 위 패킷에서 Three Way Hand Shake 과정에 해당하는 패킷을 찾아보시기 바랍니다.

• 먼저 3-Way Hand Shake 과정을 수행합니다.
  • Client(Source Port) 에서 Server(Destination Port)로 통신을 원한다는 신호를 보냅니다. [SYN] Seq = 0
  • Server에서 SYN을 정상적으로 받았다는 신호를 보냅니다. [SYN, ACK] Seq=0 Ack=1
  • Client에서 SYN-ACK를 잘 받았다고 신호를 보냅니다. [ACK] Seq=1 Ack=1
• Client 에서 HTTP 요청을 보냅니다. [GET / HTTP/1.1]
• Server 측에서 확인 신호를 보냅니다.

TCP 패킷 정보

또한 패킷들을 클릭하면 패킷의 정보도 볼 수 있습니다.

 

HTTP 패킷 /TCP패킷

※ HTTP 상태코드 -  1xx : 정보 /  2xx : 성공 / 3xx : 재지정 / 4xx : 클라이언트 오류 / 5xx : 서버오류

• Source Port (발신지 포트 필드) : 발신지 포트 필드는 발신지에서 오픈된 포트입니다. 위 포트를 보면 50572 포트인 것을 확인할 수 있습니다.
• Destination Port (목적지 포트 필드) : 목적지 포트 필드는 수신지에서 오픈된 포트입니다. 위의 패킷을 보면 51462 포트인 것을 확인할 수 있습니다.
• Squence Number (순차 번호 필드) : 순차번호필드는 고유한 번호를 가지며, 이 값으로 TCP 세그먼트에 대한 식별값을 제공하며, 통신 스트림일부가 분실되면 확인을 위해 수신자를 사용가능하게 합니다. 이 순차번호는 패킷에 포함되어 있는 데이터 만큼 증가하게 됩니다.
• Acknowledgement Number (확인 응답 번호 필드) : 확인 응답 번호 필드는 다음번에 기대되는 순차번호를 표시합니다. ack number에 관련하여 530의 값을 가지게 됩니다.
• Header Length (데이터 오프셋 필드) : 데이터 오프셋필드는 TCP헤더의 길이를 정의합니다. 길이는 4byte씩 증가되고, 이 필드의 값이 20이면 80바이트 길이를 갖는다는 것입니다.

 

 

IP 패킷 분석

 

버전 : 사용중인 IP패킷의 버전 (IPv4 또는 IPv6)

헤더길이 : IP 헤더의 길이

서비스 타입 :  라우터가 트래픽의 우선순위를 지정하는데 사용하는 플래그유형

총 길이 : IP패킷의 총길이(헤더+페이로드)

식별자 : 패킷의 순서를 식별하는데 사용되는 고유 번호

플래그 : 패킷이 단편화되었을때 단편화가 끝났는지, 더 남았는지 확인 가능한 필드

단편 오프셋 : 패킷이 단편화 되었으면 해당 필드 값을 이용해 올바른 순서로 재구성 하는 필드

생존시간 : IP 패킷의 생존시간을 지정하는 필드 (즉 얼마나 많은 라우터를 경우 할 수있는지 확인 하는 필드)

프로토콜 : 상위 프로토콜을 식별하기 위한 프로토콜 번호를 저장하는 필드 (프로토콜 별 고유 번호가 존재)

헤더 체크썸 : IP헤더가 손상됐는지 검사하는 필드

출발지 IP 주소 : 패킷을 보낸 host ip주소

목적지 IP 주소 : 패킷의 목적지 ip주소

데이터 : 실제 데이터가 담겨있는 필드

 

 

참고:https://velog.io/@sms8377/TIL-24-Wireshark%EB%A5%BC-%EC%9D%B4%EC%9A%A9%ED%95%9C-%EA%B0%84%EB%8B%A8-%ED%8C%A8%ED%82%B7-%EB%B6%84%EC%84%9D

https://securitymanjoseph94.tistory.com/6

[TIL 2/4] Wireshark를 이용한 간단 패킷 분석