목록Network/Protocol Analysis (5)
Hacking Arts
ping의 사이즈를 크게해서 하나의 패킷을 fragment 시켜서 보내고있는 것을 볼 수 있다.잘보면 Identification은 size가 변하지 않는다. 그리고 ip헤더의 길이가 나오진 않았지만 60byte로 옵션을 사용하고있다.근데 차례대로 패킷을 보면 ID값으로 이 패킷들이 원래는 하나였다는 것을 알수 있다. 그다음 Fragment offset으로 패킷이 순서를 맞출 수 있는 것이다. 패킷의 fragment를 이와같이 확인 할 수 있다.그리고 flag가 마지막 icmp 패킷만 000이고 나머지는 001으로 패킷이 더있다고 표현되어있다.
-ipv4버젼이고 -헤더길이는 20byte-TOS또한 0이고-TL은 48byte 이전과는 다른걸 볼수 있음.-ID는 연속패킷을 볼 때 사용-flag가 쪼개져있는것을 볼수 있음. 0으로-flagmet offset은 0으로 상대적위치 표시-ttl은 106으로 149개의 라우터를 거침-상위 프로토콜이 udp-check sum을 확인 할 수 있다.-출발지 ip와 목적지 ip
IP 헤더모양 -4bit부분에 version이 표시된다.-헤더의 길이 20byte(옵션이 사용되지 않았다. 최대 60Byte까지 갈 수 있음)-TOS부분 차별화된 서비스라고 하고 아무값도 지정되어있지않음.... 대부분의 패킷을 체크해보니 이렇다.-TL부분은 40byte라고 체크가 되어있습니다. -identification 이부분이 중요하다. 이패킷을 보면 미리 flags를 보면 분할되지 않았다. 그래서 이부분이 쓰이진 않지만 만약 쪼개진다면 패킷을 다시 재조립할때 쓰인다.-flag 보면 010 이런식으로 되어있다. 즉 쪼개지지 않았고 뒤에 올패킷도 없다라는 뜻 만약 3번째 bit가 1이면 쪼개진게 더있다라는 뜻만약 000이면 내가 쪼개진 패킷인데 마지막 조각이다 라는 뜻이다.-flagmet offset은..
ARP Request 패킷이다필터링은 arp.src.hw_mac=[MAC Address]를 입력하시면 필터링을 하실 수 있습니다.이전에 배운 이더넷을 보면 0x0806으로 이전에 Ethernet에서 Length of type에서 확인했던 것을 확인 할 수 있다. 이 위에 패킷이 ARP이고목적지는 브로드 캐스트로 요청을 하는 것을 알 수 있다. 즉 라우터는 브로드 캐스트 패킷을 버려버리므로 LAN에서 오갈 수 있는 것이다.그리고 H/W Type은 Ehternet 1번이 들어가고Protocol Type은 ip 0x0800이 들어간다(참고로 Ethernet의 Length of Type과 같은 표를 공유한다)H/W size는 48bit(=6byte) FF-FF-FF-FF-FF-FF(FF하나가 8bit이고 8*6..
Destination MAC Address 확인 -> PC MAC주소 Source MAC Address 확인 -> Gateway MAC주소내 PC로 들어오는 프레임을 확인 할 수 있다.Length or Type : 으로 0x0600이상이므로 상위프로토콜인 ip(0x0800)를 뜻한다.Data는 1438Byte 원래는 MTU(Maximum transmission unit)값인 1500Byte지만 상위프로토콜의 헤더가 붙어서 줄어듬 PC의 MAC주소Gateway의 MAC주소 Ethernet은 switch있는 곳 즉 LAN상에서만 활동되기 때문에 주로 switch를 넘기는 순간부터는 3꼐층 이상의 통신을 하므로Ethernet 프레임만 캡쳐하기가 힘들다. Ethernet 이론 : http://gatsby-stu..