[Network] Wireshark 으로 분석하는 OSI 7 Layer 의 Basic Header

OSI 7 Layer

 

지난 시간 간단하게 OSI 7 Layer 에 대해서 알아보았고, 각각 Layer 를 대표하는 것들에 대해서 알아보았다.

 

이번에는 Wireshark 로 네트워크 통신이 이루어지면 OSI 7 Layer 가 어떻게 동작하는지, 어떤 헤더를 가지고 있는지 알아보려 한다.

 

OSI 7	Layer NO.	TCP/IP	Ohters
Application	L7	HTTP	FTP, SMTP, SSH
Presentation
Session
Transport	L4	TCP	UDP
Network	L3	IP	IPv6, ARP
Data Link	L2	Ethernet	SDLC
Physical

 

실질적으로 프로그래밍으로 다룰 수 있는 Layer 는 Physical 을 제외한 6개의 Unit 이다.

 

그 이후 Data Link 부터 Application Layer 까지 차례로 L2, L3, L4, L7 이라 부르고 L7 에는 Session + Presentation + Application 영역이 개념적으로 합쳐서 구분하곤 한다.

 

각각의 Layer 를 대표하는 타입을 이번에 Wireshark 로 분석해보자.

 

Wireshark 로 패킷 캡쳐하기

 

우선 네트워크 패킷을 캡쳐하기 위해서 Wireshark 를 이용할 것이다.

 

패킷을 캡쳐하기 위해서 현재 네트워크를 캡쳐한다.

 

 

나는 WAN 으로 잡혀있기 때문에 Wifi 를 Target 으로 설정하도록 하겠다.

 

그리고 http fileter 를 걸어서 날아다니는 아무 패킷이나 잡아보자

 

 

그럼 아래 Packet Details 부분에서 4 개의 Detail 정보가 나오게 된다.

 

여기서 보이는 이 4개의 Detail 이 L2, L3, L4, L7 을 모두 나타내는 곳이니 눈여겨 보도록하자.

 

총 4개의 Expandable Column 이 존재한다.

 

1. Ethernet II
2. Internet Protocol Version 4
3. Transmission Control Protocol
4. Hypertext Transfer Protocol

 

이들은 각각 L2, L3, L4, L7 에 해당하는 실제 패킷 데이터인데, 각각을 분석해보자.

 

L2 Data Link 의 Ethernet

 

L2 에 해당하는 프로토콜로 한 지역에서 다른 지역으로 데이터를 전송 또는 수신할 목적이 있는 레이어의 프로토콜이다.

 

Ethernet 은 물리 주소인 MAC Address 주소를 포함하여, 목적지의 MAC Address와 출발지의 MAC Address 를 포함한다.

 

우리가 패킷을 잡을 때, 가장 먼저 확인할 수 있는 데이터로, 다음과 같이 Destination, Source MAC Address 가 존재하는 것을 알 수 있다.

 

 

여기에서 자세히 보면 3가지의 정보가 나온다.

 

이 정보들을 알아가기 위해 헤더를 조금 분석해보자

Ethernet Header

 

이는 이더넷 프레임의 헤더는 총 14 byte 의 크기로 존재하는데, 다음과 같은 정보를 가지고 있다.

 

• Destination MAC Address (6 byte)
• Source MAC Address (6 byte)
• ethertype (2byte)

 

다음에 어떤 PDU가 나오는지는 현재 헤더에서 결정을 해줘야 하는 패킷의 특성상 위의 ethertype 이 꽤 중요한 역할을 수행한다.

 

ethertype 은 2 byte로 L3 에 무엇이 나올지 지정해주는데, 현재 Type 은 IPv4 (0x0800) 이다.

 

만약 IPv4가 아니라 IPv6 라면 0x8100 이 올 것이고, ARP 라면 0x0806이 올 것이다

 

L3 : Network 의 Ipv4

 

L3에 해당하는 프로토콜로 우리가 잘 하는 IP가 나오는데, L4는 중간 라우터를 통한 라우팅을 포함하여 패킷 포워딩을 담당한다.

 

Ethernet Frame Header 바로 다음에 위치한 헤더로, 항상 IPv4가 오는 것은 아니고, Ethernet Frame Header 에서 ethertype 으로 명시된 프로토콜만 올 수 있다.

 

Ipv4 Header

 

IPv4 는 다음과 같은 정보가 담기게 된다.

 

• Source Address (4 byte)
• Destination Address (4 byte)
• Protocol (1 byte)

 

여기서 Ethernet Header 과 마찬가지로 다음에 어떤 프로토콜이 올지 정해주는게 바로 Protocol 영역이다.

 

 

현재는 TCP라 6이라는 정보가 담겨있지만 만약 ICMP라면 1, UDP면 11? 17 이라는 정보가 담겨있게 된다.

 

L4 : Transport 의 TCP

 

L4에 해당하는 프로토콜로 TCP를 사용한다.

 

L4 에서는 L7과 L3 를 연결하고 신뢰성, 흐름 제어, 다중화와 같은 서비스를 제공하는 것으로 알려져 있다.

 

TCP Header

 

TCP Header 에서 중요하게 봐야할 것은 바로 Source Port와 Destination Port 이다

 

실질적인 데이터는 Payload에 담겨있지만, Port 로 서비스를 구분하는 패턴이 자주 사용되므로 두 포트를 알아두는 것도 중요하다.

 

Wireshark로 돌아가서 보면 역시 Source Port와 Destination Port 를 쉽게 확인할 수 있다.

 

 

Session + Presentation + Application 의 HTTP

 

L7 에 해당하는 프로토콜로 이전 PDU인 TCP 에서 Payload에 존재하는 실질적인 데이터 이다.

 

 

TCP 에서 어떤 Payload 가 되었느냐에 따라서 FTP가 될 수 있고 SSH가 될 수 있다.

 

하지만 현재 잡은 패킷은 http 패킷이므로 TCP Payload 에는 Hypertext Transport Protocol 이 존재하는 것을 볼 수 있다.