네트워크 보안 - 네트워크 기초 완전 정리
Phase 2 | Network Security
네트워크 기초 완전 정리
OSI 계층별 주소 체계 · ARP · DNS · DHCP · 트래픽 흐름 · 보안 관점까지
01
계층별 네트워크 주소 체계
| 계층 | 주소 유형 | 크기 | 목적 | 예시 |
|---|---|---|---|---|
| L2 (Data Link) | MAC Address | 48bit | 동일 네트워크 내 물리적 전달 | 00:1A:2B:3C:4D:5E |
| L3 (Network) | IP Address | 32 / 128bit | 네트워크 간 라우팅 | 192.168.1.10 |
| L4 (Transport) | Port Number | 16bit | 프로세스 식별 | :443 |
| L7 (Application) | FQDN | 가변 | 사람이 읽을 수 있는 주소 (DNS 변환) | www.google.com |
핵심 포인트 | 패킷이 전달될 때 L7 → L4 → L3 → L2 순으로 주소가 덧붙여지고(인캡슐레이션), 수신 측에서는 역순으로 해석된다.
02
포트 번호 (L4 주소)
| 범위 | 구분 | 설명 | 대표 포트 |
|---|---|---|---|
| 0 – 1023 | Well-Known | IANA 등록 표준 서비스 | 80(HTTP), 443(HTTPS), 22(SSH), 53(DNS) |
| 1024 – 49151 | Registered | 애플리케이션 등록 포트 | 8080, 3306(MySQL), 5432(PostgreSQL) |
| 49152 – 65535 | Dynamic / Ephemeral | OS가 임시 할당 (송신 측 사용) | 클라이언트 임시 포트 |
보안 관점 | 알려지지 않은 포트로 외부 통신이 발생하면 즉시 의심. nmap 스캔으로 열린 포트 확인 후 불필요한 포트는 방화벽에서 차단.
03
ARP (Address Resolution Protocol)
IP 주소는 알고 있지만 MAC 주소를 모를 때 사용. L2와 L3 사이에서 동작한다.
ARP Request
브로드캐스트
브로드캐스트
→
네트워크 전체 수신
→
ARP Reply
유니캐스트
유니캐스트
→
ARP Cache 저장
ARP Cache 확인 (Windows)
arp -a
IP-MAC 매핑 테이블 조회. 성능 향상을 위해 일정 시간 캐싱.
ARP Spoofing (보안 위협)
- 공격자가 가짜 ARP Reply 전송
- 피해자의 ARP Cache 오염
- MITM (중간자 공격) 진입점
- 대응: 정적 ARP, DAI(Dynamic ARP Inspection)
04
DNS (Domain Name System)
FQDN을 IP 주소로 변환하는 계층 7 프로토콜. 실제 조회 순서는 아래와 같다.
DNS Cache
→
Hosts 파일
→
DNS 서버 질의
# DNS 캐시 확인 (Windows)
ipconfig /displaydns
# Hosts 파일 위치
C:\Windows\System32\drivers\etc\hosts
# 공개 DNS 서버
8.8.8.8 # Google
1.1.1.1 # Cloudflare
208.67.222.222 # OpenDNS
보안 관점 | Hosts 파일은 DNS보다 우선 적용된다. 악성코드가 Hosts 파일을 조작해 합법적인 도메인을 피싱 사이트 IP로 리다이렉트하는 사례 다수 존재. DNS Cache Poisoning도 같은 맥락.
05
DHCP (Dynamic Host Configuration Protocol)
클라이언트에게 IP, Subnet Mask, Gateway, DNS를 자동으로 할당. 4단계 핸드셰이크(DORA)로 동작한다.
Discover
Client → Broadcast
Client → Broadcast
→
Offer
Server → Client
Server → Client
→
Request
Client 선택 확인
Client 선택 확인
→
Ack
Server 확정
Server 확정
| 구분 | Static IP | Dynamic IP (DHCP) |
|---|---|---|
| 설정 방식 | 수동 | 자동 (임대 기반) |
| 변경 여부 | 고정 | 임대 만료 시 변경 가능 |
| 사용 환경 | 서버, 프린터 등 고정 자원 | 일반 사용자 단말 |
| 보안 | 관리 용이 | DHCP Starvation 공격 취약 |
06
트래픽 흐름 : 내부망 vs 외부망
내부망 통신 흐름
- DNS로 목적지 IP 조회
- Subnet Mask로 동일 네트워크 판단
- ARP로 목적지 MAC 직접 조회
- 수신자 MAC으로 바로 전송
외부망 통신 흐름
- DNS로 목적지 IP 조회
- Subnet Mask로 외부 네트워크 판단
- ARP로 Gateway MAC 조회
- Gateway로 전달 → Router가 외부 라우팅
핵심 차이 | 내부망은 목적지 MAC으로, 외부망은 Gateway MAC으로 패킷을 전송한다. Router를 경유할 때마다 MAC 주소는 바뀌지만 IP 주소는 유지된다.
| 구분 | 내부망 | 외부망 |
|---|---|---|
| ARP 대상 | 수신자 | Gateway |
| 목적지 MAC | 수신자 NIC MAC | Gateway MAC |
| 라우팅 필요 | 없음 | 있음 (Router 경유) |
| NAT 적용 | 없음 | Private → Public IP 변환 |
07
계층별 네트워크 장비
| 장비 | 동작 계층 | 주소 기준 | 특징 | 보안 관점 |
|---|---|---|---|---|
| Hub | L1 | 없음 | 모든 포트로 브로드캐스트, 충돌 多 | 스니핑 취약 (모든 트래픽 수신) |
| Switch | L2 | MAC Table | 목적지 MAC 포트로만 전달, 효율적 | MAC Flooding, ARP Spoofing 취약 |
| Router | L3 | Routing Table | 네트워크 간 IP 기반 경로 선택 | ACL 설정으로 트래픽 필터링 |
08
전송 방식 : Unicast / Broadcast / Multicast
| 방식 | 대상 | 사용 예 | 보안 이슈 |
|---|---|---|---|
| Unicast | 1 : 1 | 일반 HTTP 통신 | 낮음 |
| Broadcast | 1 : 전체 네트워크 | ARP Request, DHCP Discover | Broadcast Storm, DoS 가능 |
| Multicast | 1 : 특정 그룹 | 스트리밍, 라우팅 프로토콜 | 그룹 조작 공격 가능 |
09
보안 관점 핵심 정리
- ARP Spoofing : 가짜 ARP Reply로 Cache 오염 → MITM. 대응: 정적 ARP 바인딩, DAI(Dynamic ARP Inspection)
- DNS Cache Poisoning : 위조 DNS 응답으로 잘못된 IP 캐싱. 대응: DNSSEC 적용
- Hosts 파일 변조 : 악성코드가 정상 도메인을 피싱 IP로 리다이렉트. 주기적 무결성 확인 필요
- DHCP Starvation : 가짜 클라이언트가 IP 풀을 소진 → 정상 단말 IP 발급 불가. 대응: DHCP Snooping
- Hub 환경 스니핑 : 모든 프레임을 수신 → Wireshark로 타인 패킷 열람. Switch 환경으로 전환 권장
- MAC Flooding : Switch MAC Table 포화 → Hub처럼 동작하게 유도 → 스니핑 가능
'보안 공부' 카테고리의 다른 글
| 네트워크 보안 - TCP 심화 · IP Header · ICMP 완전 정리 (0) | 2026.05.29 |
|---|---|
| 네트워크 보안 - OSI 모델 · TCP/IP · 프로토콜 완전 정리 (0) | 2026.05.29 |
| 악성 코드 분석 - IOC(침해 지표) 정리 (0) | 2026.05.28 |
| 악성 코드 분석 - 기초 동적 분석 (0) | 2026.05.28 |
| 악성 코드 분석 - 기초 정적 분석 (0) | 2026.05.28 |