네트워크 트래픽, 패킷을 분석하기 위해서는 와이어샤크 같은 툴을 확인하게 됩니다. 이 중 TLS 버전 확인은 보안 프로토콜 분석에 있어서 중요한 요소 입니다.패킷에서 TLS 버전을 체크하는 방법에 대해서 알아보도록 하겠습니다. 먼저 패킷을 불러온 다음 Client Hello 패킷을 찾아 줍니다.Transport Layer Security 부분에 TLS 1.3 Record Layer로 들어갑니다. 아래 Handshake Protocol: Client Hello 부분에 version 정보가 있습니다.예시로 보여드린 이미지에서는 TLS 1.2로 정의 되어 있습니다. 클라이언트 hello만 찾고 서버 hello는 찾지 못한 경우 클라이언트 hello는 wireshark에서 TLSv1로 태그 지정됩니다. TLS ..
ServerNameServer Name Indication(SNI)이라고 불리웁니다.보안장비나 정부에서는 이런 SNI 값을 보고 호스트를 볼 수 없는 HTTPS로 SSL 암호화 되어 있는 사이트를 차단할 때 사용하기도 합니다. TLS 프로토콜의 Client Hello 메시지에 포함되어 있는 필드입니다.클라이언트(브라우저)가 서버에 접속하려는 호스트 이름을 알려주는 역할을 합니다. ssl.handshake.extensions_server_name 해당 쿼리로 조회할 수 있습니다. 각 SN을 가지고 있는 패킷들이 조회가 됩니다.클릭해서 Transport Layer Security에 Server Name Indication 부분을 보면 서버 네임을 확인하실 수 있습니다.Server Name Indicatio..
패킷 재전송이나 변조의 도구에는 tcpreplay, scapy 등이 있습니다. 오늘은 tcpreplay 사용법에 대해서 알아보도록 하겠습니다. 패킷 재전송하는 이유 패킷을 전송하는 행위의 목적은 공격 패킷, 다량의 패킷의 트래픽을 발생시키는 테스트 세션이나 비정상 패킷에 대한 테스트 이 외에도 다양한 네트워크 테스트를 위해서 사용이 가능합니다. 보안 프로그램을 다루는 분들이라면 더욱이 많이 사용하시게 될 것이고, 이 방법을 알고 계신다면 아주 유용한 유틸리티가 될 것 입니다. tcpreplay 설치 $ sudo apt-get install tcpreplay To install tcpreplay on Fedora, simply run: $ sudo yum install tcpreplay To install..
와이파이 뜻과 유래 와이파이 이름의 유래 와이파이의 이름은 "Wireless Fidelity"의 약자로, "무선의 충실도"를 의미합니다. 와이파이 얼라이언스(Wi-Fi Alliance)는 1999년 6월 와이파이 기술의 상호 운용성을 보장하기 위해 설립된 단체입니다. 와이파이 얼라이언스는 와이파이 기술의 홍보를 위해 "와이파이"라는 이름을 사용하기 시작했고, 이 이름은 빠르게 전 세계적으로 널리 알려지게 되었습니다. 와이파이의 유래 와이파이(Wi-Fi)는 전자기기들이 무선랜(WLAN)에 연결할 수 있게 하는 기술로서, 주로 2.4 기가헤르츠 (12센티미터) UHF 및 5 기가헤르츠 (6센티미터) SHF ISM 무선 대역을 사용합니다. 와이파이는 오늘날 우리 삶에서 없어서는 안 될 필수 기술이 되었지만, ..
IP는 컴퓨터 간의 통신을 가능하게 하는 네트워크 핵심 기술입니다. IP 패킷이 목적지까지 전달하기 위해 패킷의 크기는 목적지의 MTU(Maximum Transmission Unit)를 초과해서는 안됩니다. MTU는 네트워크에서 전송할 수 있는 최대 패킷의 크기입니다. 데이터를 효율적으로 전달하기 위해 IP는 Fragmentation이라는 기술을 사용하게 됩니다. IP Fragmentation Fragmentation는 짧게 조각화 하는 단편화 기술로 인터넷 프로토콜에서 데이터를 작은 단로 나누게 됩니다. 한번에 전송되지 않고 나누어 전송되어 최적의 네트워크 성능을 활용할 수 있습니다. Fragmentation 방식 데이터를 MTU 값에 따라 작은 크기으 패킷으로 쪼개어 전송됩니다. header에 Fra..
네트워크 속도에 대한 용어들이 있습니다. Bandwidth, Throughput, Backplane 네트워크를 하시는 분들은 이 중 하나를 들어는 보셨을 것 같은데요, 정확히 어떤 것을 의미하는지 알아보도록 하겠습니다. 장비 포트 속도 10Mbps 부터 100Mbps, 1Gbps 10Gbps, 40Gbps 등등 으로 불리는 이 수치는 포트의 속도 입니다. 정확한 단위는 bps로 초당 전송 가능한 bit 수 1G 포트는 초당 1Gigabit를 보낼 수 있는 포트인 것입니다. 1. 대역폭(Bandwith) 네트워크 대역폭을 의미합니다. 전송할 수 있는 데이터 양을 나타냅니다. 일반적으로 Mbps, Gbps 같은 단위로 표시됩니다. 대역폭이 높을수록 더 많은 데이터를 전송할 수 있음을 의미합니다. LAG(Li..
컴퓨터끼리 네트워크상으로 의사소통을 하는 약속을 프로토콜 이라고 합니다 그 중 가장 널리 사용되는 프로토콜 종류 중 하나가 tcp/ip 입니다 TCP는 transmission control protocol 과 데이터 통신을 다루는 IP internet protocol 로 구성됩니다 TCP/IP 모델은 DARPA라는 곳에서 개발되었습니다. 번역하면 방위사업청이라고 보시면 됩니다. TCP/IP 4 Layer 4계층에 대해서 알아보자면 아래와 같습니다. L4 응용 계층(Application Layer) 용용 프로그램을 구현하여 통신할 때 사용합니다. 데이터 단위 Data/Message 예시 파일전송, 이메일, FTP, HTTP. SSH. Telnet, SMTP L3 전송 계층(Transport Layer) 통..
TCP Keepalive Interval timeout wireshark 세션 유지하기 TCP Keepalive 3-way handshake를 통해 연결된 세션을 끊지 않고 계속 사용하는 방식 이때 세션 연결을 지속적으로 확인하기 위해 아주 작은 크기의 패킷을 보냅니다. 패킷을 주고 받은 다음 타이머는 원점으로 돌아갑니다. ESTABLISHED 상태의 소켓에서는 Keepalive 타이머를 확인할 수 있습니다. ss : keepalive 확인 명령어 ss -otn -o : Show timer information. -t : Display only TCP sockets. -n : Do now try to resolve service names. Keepalive 파라미터 설정 확인 명령어 sysctl -a ..
다양한 네트워크 용어가 있지만 전송되는 속도와 패킷량을 측정하는 용어들을 설명해 드리도록 하겠습니다. 간략하게 한줄씩으로만 요약해서 정리해 두었습니다. 1. bps (bit per second) - 초당 전송되는 bit의 수 2. BPS(Byte per second) - 초당 전송되는 byte의 수, 1byte = 8bit 3. cps(character per second) - 초당 전송되는 문자의 수, 문자 = 8 bit 4. pps(packet per second) - 초당 전송되는 패킷의 수, 5. CPS (Connection Per Second) - 초당 TCP Connection을 생성할 수 있는 최대 개수, L4 - 500 CPS는 3 way handshake + 4 way handshake를..
EV SSL 인증서란? EV SSL 인증서란 Extended Validation SSL 인증서로 해석하면 확장 검증된 SSL 인증서 입니다. 브라우저와 웹서버와 암호화 통신시, 웹사이트를 운영하고 있는 회사의 안정성과 신뢰성을 사용자들에게 전달하기 위하여 브라우저 주소창을 녹색으로 변화시키는 SSL 인증서 최상위 인증기관(ROOT CA)에서 제공하는 단일 도메인 인증서(확장 인증서) 일반적인 인증서보다 까다로운 심사과정을 거치기 때문에 일반 SSL 보다 상대적으로 안심하고 인터넷 사용이 가능합니다. EV SSL 인증서 발급 요건 - 법인 회사를 운영한지 3년 이상되는 회사 (3년 미만의 경우, 별도의 서류 제출 필요) - 영문사업자 등록증이 존재하고, 전화인증이 가능한 회사 - 지정된 도메인에 대해 ..
SSL 핸드쉐이크 SSL 핸드쉐이크는 TCP 연결이 성립된 상태(Established)에서 진행됩니다. TLS/SSL 핸드쉐이크는 클라이언트가 HTTPS 웹 사이트를 탐색할 때 원본 서버를 찾기 시작할 때 발생 API, HTTPS, DNS쿼리를 할 때에도 TLS 핸드쉐이크가 발생합니다. 신뢰할 수 있는 사이트인지 판단 서버가 SSL 인증서를 제공(공개키와 서비스의 정보) 브라우저는 이 인증서를 발급한 CA가 자신의 CA리스트에 있는지 확인 존재한다면 CA의 공개키를 이용해 인증서 복호화, 이게 가능하면 신뢰 가능 SSL 핸드쉐이크 과정 1. 클라이언트 -> 서버 : SSL버전 정보, 암호화 방식, 무작위 바이트 문자열 전달, 이미 SSL 연결을 했었다면 세션 재사용 가능 2. 서버 -> 클라이언트 : 암..
TCP 3-way handshake 세션 연결, 4-way handshake란? TCP는 비연결지향인 UDP와는 다르게 연결 지향 서비스로 연결에 신뢰를 보장하기에 connection 과정인 핸드쉐이크를 거치게 됩니다. 3-way handshaking을 통해 연결을 하고 4-way handshaking을 통해 연결을 해제합니다. UDP의 경우는 비연결형 서비스이기 때문에 따로 연결, 해제 과정이 존재하지 않습니다. UDP의 경우 네트워크 부하가 적다는 장점도 있지만 신뢰성이 낮은 단점이 있어 게임, 스트리밍 서비스 등에 사용됩니다. 쉽게 말해서 DATA를 주고 받기 전 연결을 맺는 과정입니다. 3way-Handshaking(연결) 1. 클라이언트 -> 서버 : SYN 2. 서버 -> 클라이언트 : SYN..
