ARP,ICMP 프로토콜 패킷 분석 실습

1. ARP 프로토콜이란?

- 호스트 A가 호스트 B에게 IP 패킷을 전송할때 호스트 B는 네트워크 주소를 모른다고 가정

- ARP 프로토콜을 사용해 호스트 B는 자신의 IP 주소가 목적지에 있는 ARP 패킷 수신

- 자신의 물리주소(Mac Address)를 A에게 응답해줌

- ARP 프로토콜과는 반대로 IP 호스트가 자신의 물리 네트워크 주소(Mac Address)는 알지만 IP    주소를 모르는 경우엔 RARP 프로토콜을 사용함

<사진출저: 보안프로젝트>

2. ICMP 프로토콜이란?

- IP는 최선형 전달 서비스만 지원되서 IP 패킷이 전송되는 목적지엔 전달되지 못함

- 오류에 대한 보고, 네트워크 상태 진단 등을 하기 위해 고안된게 ICMP 프로토콜

- ICMP는 IP로 캡슐화되 IP 헤더의 프로토콜 필드값을 1로 설정해 ICMP 메시지라고 나타냄

3. ARP, ICMP 프로토콜 패킷 분석 실습

그림 1-1 ARP 프로토콜 패킷 (1)

#3 arp&icmp.pcap 파일을 열고 arp를 입력해 패킷을 필터링한다. 첫번째 Broadcast 정보를 보면 송신자의 Mac 주소와 IP주소는 모두 확인되지만 수신자 IP 주소는 확인 되지만 Mac 주소는 확인이 되지 않는다. Broadcast에선 누가 192.168.187.131 정보를 가지고 있는지 묻고 있으며 192.168.187.128이 정보를 가지고 있다고 응답하고 있다.

그림 1-2 ARP 프로토콜 패킷 (2)

다음 응답 내용을 보면 그림 1-1과는 다르게 수신자의 Mac 주소가 정상적으로 포함되 있음을 볼 수 있다. ARP 프로토콜을 통해 응답을 한 결과다.

그림 1-3 ICMP 프로토콜 패킷 

icmp를 입력해 패킷을 필터링 하면 그림 1-3과 같이 icmp 패킷에 관련된 내용들이 나온다. 192.168.187.128이 192.168.187.2에게 질의를 하고 192.168.187.2가 응답하고 있다. 패킷 내용을 보면 ttl=128이라고 나와있는데 ttl은 time to live의 약자다.  ttl 128번은 윈도우를 뜻하므로 윈도우쪽에서 송수신이 일어나고 있음을 알 수 있다.