23일차] wireshark 캡쳐 패킷 분석

arp-badpadding.pcapng     << 요 샘플을 분석.

# 우선 IP를 할당 받기 위해 DHCP서버에 요청하여 24.6.170.101을 할당 받았다. 그리고 다음3~5행을 보면 Gratuitous ARP 요청을 3번을 한다. Gratuitous는 불필요한이라는 뜻으로 불필요한 ARP를 보냈다는 뜻으로 IP를 할당받은 컴퓨터가 자신이 할당받은 IP로 Broadcast를 하는 것을 볼 수 있다. 이는 IP 주소 충돌을 감지하기 위해 사용하는 것으로 호스트에서 자신의 IP 주소를 타겟으로 하여 ARP 요청을 보내고, 만약 다른 호스트에서 이에 대한 응답이 있다면 이에 해당 IP주소를 사용하고 있는 호스트가 존재하게 되는 것이다. 동일 서브넷 상에 존재하는 호스트/라우터의 ARP table(ARP cache라고도 부르는)을 갱신(refresh)하기 위해 사용한다. 누군가가 GARP 패킷을 보내면, 이를 수신한 모든 호스트/라우터는 GARP 패킷의 {Sender MAC Address와 Sender IP Address} 필드로 자신의 ARP table을 갱신한다.

 

[실습!]

NETWORK-V (10. 10. 10. 20) ---> IP를 10.10.10.40으로 변경하고 이를 wireshark로 확인해 보자.

# 결과를 보면 0.0.0.0최초에 10.10.10.40이 있는지 확인하기위해 Broadcast를 통해 확인한다. 그리고 없는 것을 확인 한 후 IP를 할당 받고 다시 Gratuitous ARP로 확인하는 것을 볼 수 있다.

---

 

 

[문제 난이도: easy]

같은 사무실에 근무하는 barry와 bath는 최근에 컴퓨터를 교체하였다. 그러나 인터넷이 되질 않아서 패킷을 덤프해 본 결과 다음과 같았다. 왜 인터넷이 되질 않았는지 확인해보고 트래픽을 보고 이유를 파악 해보자. 누구의 컴퓨터가 인터넷이 되지 않고 왜 안되는지 확인하고 이유는를 적어본다.

※호스트 한 곳에서 덤프했기 때문에 물리주소가 같을 수 있다.

 

1). berry computer

 

2). beth computer

# 문제해결.

둘다 모두 똑같이 ARP를 특정 IP에 보내는 것을 확인할 수 있다. 하지만 beth의 컴퓨터는 응답이오지 않고 berry만 응답이왔다. 이것의 결과로 berry는 웹가 통신이 잘되는 것을 확인할 수 있고 beth의 컴퓨터는 웹과 통신을 못하고있다. 즉 인터넷이 안된다. 둘의 차이는 무엇일까?

192.168.0.10은 gateway라는 것을 알 수 있다. berry는 외부로 빠져나가기 위해 arp를 통해 gateway의 mac주소를 잘 받아와 외부와 통신을 할 수 있었고 beth는 잘못된 gateway를 입력하여 외부로 나갈 수 없는 상황이 만들어 진 것이다. !

 

---

DHCP구현하기.

 

1). #> yum-y install dhcp*

 

2). #> vi /etc/dhcp/dhcpd.conf

# dhcp 설정파일에서 위와같이 설정을 해준다.

 

3) Client (NETWORK-W)

 

- 자동으로 IP 주소 받기 설정

 

- cmd  ipconfig /all

# ip를 받아온 것을 확인.

 

 

- 이 과정을 wireshark로 확인.

DHCP 주요 유형 메세지는 http://www.ktword.co.kr/abbr_view.php?m_temp1=5419&m_search=DHCP에서 확인 가능.

# 먼저, DHCP Discover : 클라이언트가 서버를 찾기위해 브로드캐스팅하는 메세지 .

# DHCP OFFER : 서버가 클라이언트에게 응답 IP주소 제공. DHCP 서버(10.10.10.20)가 10.10.10.200을 사용할 거냐고 물어봄

# DHCP REQUEST : 서버를 선택한 클라이언트가 메시지를 요청 즉, 10.10.10.200을 사용하겠다고 요청

# DHCP ACK : 긍정 응답 // NACK는 부정 응답을 뜻한다. 결론적으로는 할당해주겠다는 뜻이 된다.

# 21행 무시.. 10.10.10.20이 아님.