[Wireshark] 네트워크 패킷 분석
조원분들과 함께한 구름톤 딥다이브 PBL 과제1 수행 결과를 정리한 글입니다.
- 분석 대상: 200722_tcp_anon.pcapng(Netcat - string, file and characters)
- 파일 다운로드 URL: https://wiki.wireshark.org/SampleCaptures#tcp
- 파일이 접속한 URL: https://www.rfc-editor.org/rfc/rfc2549.html
- 원문 파일명: IP over Avian Carriers with Quality of Service
1. 패킷 개요
- 해당 패킷은 총 35패킷으로 이루어져 있다.
- 3-Way Handshake의 대표적인 예시 패킷으로 보임. [연결 확인]
(1) 클라이언트가 도착할 서버에 SYN 패킷을 보냄. (출발지 7875 → 도착지 2000)
(2) 서버는 클라이언트의 SYN 패킷을 수신하고 SYN + ACK 패킷을 보냄. (2000 → 7875) 이때 Ack= +1 증가
(3) 정상 응답 후 클라이언트가 보낸 시퀀스번호에 +1 증가하여 새로운 시퀀스번호를 생성하고 보냄.
2. 패킷 상세 분석
1. 패킷 송수신 날짜 확인
Arrival Time: Jul 23, 2020 11:05:24.234640000 대한민국 표준시 (첫 연결 기준)
2. 길이
Total Length: 52
16진수 00 34 → 10진수 변환 시 52(일치)
66 bytes (528 bits)
3. 도착 연결지 확인(이상치 탐지)
송수신된 패킷 중 데이터(문자열)가 높은 몇 개의 패킷 발견, 해당 패킷 자세히 분석 진행
- 데이터가 높은 패킷을 확인 결과 무언가를 접속한 듯함 -> 해당 문자열을 출력해 메모장에 옮긴 후 분석 실행
- 프로토콜 설명으로 보이는 문서 내용을 발견
- 해당 내용의 진위 확인
- QoS 프로토콜 설명 페이지는 하나의 SPA(Single Page Application) 형식으로 보이나 실제 패킷이 송수신되었을 때는 여러 번 나눠 전달됨.
- 해당 프로토콜 문서 확인 결과 인터넷의 유희성을 보여주는 사례 중 하나로 볼 수 있음 - 실제로 구현되거나 사용되기 위한 기술 문서가 아님
- 아래의 하위 페이지는 QoS 프로토콜 전문 및 번역본
원문
IP over Avian Carriers with Quality of Service
Network Working Group D. Waitzman
Request for Comments: 2549 IronBridge Networks
Updates:1149 1 April 1999
Category: Experimental
IP over Avian Carriers with Quality of Service
Status of this Memo
This memo defines an Experimental Protocol for the Internet
community. It does not specify an Internet standard of any kind.
Discussion and suggestions for improvement are requested.
Distribution of this memo is unlimited.
Copyright Notice
Copyright (C) The Internet Society (1999). All Rights Reserved.
Abstract
This memo amendsRFC 1149, "A Standard for the Transmission of IP
Datagrams on Avian Carriers", with Quality of Service information.
This is an experimental, not recommended standard.
Overview and Rational
The following quality of service levels are available: Concorde,
First, Business, and Coach. Concorde class offers expedited data
delivery. One major benefit to using Avian Carriers is that this is
the only networking technology that earns frequent flyer miles, plus
the Concorde and First classes of service earn 50% bonus miles per
packet. Ostriches are an alternate carrier that have much greater
bulk transfer capability but provide slower delivery, and require the
use of bridges between domains.
The service level is indicated on a per-carrier basis by bar-code
markings on the wing. One implementation strategy is for a bar-code
reader to scan each carrier as it enters the router and then enqueue
it in the proper queue, gated to prevent exit until the proper time.
The carriers may sleep while enqueued.
For secure networks, carriers may have classes Prime or Choice.
Prime carriers are self-keying when using public key encryption.
Some distributors have been known to falsely classify Choice carriers
as Prime.
Packets MAY be marked for deletion using RED paint while enqueued.
Waitzman Experimental [Page 1]
RFC 2549 IP over Avian Carriers with QoS 1 April 1999
Weighted fair queueing (WFQ) MAY be implemented using scales, as
shown:
__
_____/-----\ / o\
<____ _____\_/ >--
+-----+ \ / /______/
| 10g | /|:||/
+-----+ /____/|
| 10g | |
+-----+ ..X
===============================
^
|
=========
Carriers in the queue too long may leave log entries, as shown on the
scale.
The following is a plot of traffic shaping, from coop-erative host
sites.
Alt | Plot of Traffic Shaping showing carriers in flight
|
2k | ....................
| . .
| . .
1k | . .
| +---+ +---+
| | A | | B |
| +---+ +---+
|_____________________________________________
Avian carriers normally bypass bridges and tunnels but will seek out
worm hole tunnels. When carrying web traffic, the carriers may
digest the spiders, leaving behind a more compact representation.
The carriers may be confused by mirrors.
Round-robin queueing is not recommended. Robins make for well-tuned
networks but do not support the necessary auto-homing feature.
A BOF was held at the last IETF but only Avian Carriers were allowed
entry, so we don't know the results other than we're sure they think
MPLS is great. Our attempts at attaching labels to the carriers have
been met with resistance.
Waitzman Experimental [Page 2]
RFC 2549 IP over Avian Carriers with QoS 1 April 1999
NATs are not recommended either -- as with many protocols, modifying
the brain-embedded IP addresses is difficult, plus Avian Carriers MAY
eat the NATs.
Encapsulation may be done with saran wrappers. Unintentional
encapsulation in hawks has been known to occur, with decapsulation
being messy and the packets mangled.
Loose source routes are a viable evolutionary alternative enhanced
standards-based MSWindows-compliant technology, but strict source
routes MUST NOT be used, as they are a choke-point.
The ITU has offered the IETF formal alignment with its corresponding
technology, Penguins, but that won't fly.
Multicasting is supported, but requires the implementation of a clone
device. Carriers may be lost if they are based on a tree as it is
being pruned. The carriers propagate via an inheritance tree. The
carriers have an average TTL of 15 years, so their use in expanding
ring searches is limited.
Additional quality of service discussion can be found in a Michelin's
guide.
MIB and Management issues
AvCarrier2 OBJECT-TYPE
SYNTAX SEQUENCE OF DNA
MAX-ACCESS can't-read
STATUS living
DESCRIPTION "Definition of an avian carrier"
::= { life eukaryotes mitochondrial_eukaryotes crown_eukaryotes
metazoa chordata craniata vertebrata gnathostomata
sarcopterygii terrestrial_vertebrates amniota diapsida
archosauromorpha archosauria dinosauria aves neornithes
columbiformes columbidae columba livia }
AvCarrier OBJECT-TYPE
SYNTAX SET OF Cells
MAX-ACCESS not-accessible
STATUS obsolete
DESCRIPTION "Definition of an avian carrier"
::= { life animalia chordata vertebrata aves
columbiformes columbidae columba livia }
PulseRate OBJECT-TYPE
SYNTAX Gauge(0..300)
MAX-ACCESS read-only
Waitzman Experimental [Page 3]
RFC 2549 IP over Avian Carriers with QoS 1 April 1999
STATUS current
DESCRIPTION "Pulse rate of carrier, as measured in neck.
Frequent sampling is disruptive to operations."
::= { AvCarrier 1}
The carriers will not line up in lexigraphic order but will
naturally order in a large V shape. Bulk retrieval is possible
using the Powerful Get-Net operator.
Specification of Requirements
In this document, several words are used to signify the requirements
of the specification. These words are often capitalized.
MUST Usually.
MUST NOT Usually not.
SHOULD Only when Marketing insists.
MAY Only if it doesn't cost extra.
Security Considerations
There are privacy issues with stool pigeons.
Agoraphobic carriers are very insecure in operation.
Patent Considerations
There is ongoing litigation about which is the prior art: carrier or
egg.
References
Waitzman, D., "A Standard for the Transmission of IP Datagrams on
Avian Carriers",RFC 1149, 1 April 1990.
ACKnowledgments
Jihttp://m.Carlson.Ibnets.com > Jon.Saperia . ack 32 win 123 (DF)
Ross Callon, Scott Bradner, Charlie Lynn ...
Waitzman Experimental [Page 4]
RFC 2549 IP over Avian Carriers with QoS 1 April 1999
Author's Address
David Waitzman
IronBridge Networks
55 Hayden Ave
Lexington, MA 02421
Phone: (781) 372-8161
EMail: djw@vineyard.net
번역 정리(feat.ChatGPT)
RFC 2549는 "IP over Avian Carriers with Quality of Service"라는 제목의 문서로, 인터넷 프로토콜(IP)을 조류(특히 비둘기) 통신 매체를 통해 전송하는 방법에 대해 설명하고 있습니다. 이 문서는 1999년에 작성된 것으로, 사실상 인터넷 커뮤니티 내에서 유머를 담아 작성된 패러디 문서입니다. 이 문서의 내용은 실용적이지 않으며, 인터넷 프로토콜(IP) 기술을 이해하는 사람들에게 재미를 주기 위한 목적으로 작성되었습니다.
주요 내용은 다음과 같습니다:
1. 개요
- 이 문서는 IP 패킷을 조류를 통해 전송하는 방법에 대해 설명합니다. 이는 이전에 발표된 "IP over Avian Carriers" (RFC 1149)에서 소개된 기본 개념에 기반하며, 이번 버전에서는 Quality of Service (QoS, 서비스 품질)를 개선했습니다.
2. 사양
- IP 패킷은 조류에 부착된 캡슐 안에 물리적으로 담겨 전송됩니다. 각 조류는 한 번에 하나의 IP 패킷을 운반할 수 있습니다.
- 조류가 패킷을 목적지로 운반하면, 캡슐에서 패킷을 꺼내고, 네트워크에 전달합니다.
3. QoS와 조류의 특성
- 조류의 속도와 신뢰성에 따라 QoS가 결정됩니다. 이 문서에서는 조류의 비행 속도, 휴식 시간, 날씨 조건 등을 고려하여 QoS를 계산하는 방법을 설명합니다.
- 조류의 피로와 건강 상태도 QoS에 영향을 미칩니다. 따라서 조류의 상태를 모니터링하고, 필요할 경우 휴식을 주는 것이 중요합니다.
4. 전송 오류 처리
- 전송 중 조류가 길을 잃거나 사고로 인해 패킷이 손실될 수 있습니다. 이러한 경우, 패킷을 다시 전송해야 합니다.
- 패킷이 성공적으로 전송되지 않은 경우, 자동으로 재전송 메커니즘이 작동합니다.
5. 보안
- 조류가 운반하는 패킷이 다른 포식자나 외부 요인에 의해 도난당할 수 있으므로, 보안을 강화하기 위한 방법이 제안됩니다. 예를 들어, 캡슐을 암호화하거나, 조류를 보호하는 조치를 취할 수 있습니다.
6. 미래 가능성
- 문서에서는 IP over Avian Carriers의 향후 발전 가능성에 대해서도 언급하고 있습니다. 특히, 새로운 조류 종을 도입하거나, 전송 효율성을 높이기 위한 방법을 연구할 수 있다고 제안합니다.
이 문서는 인터넷의 유머러스한 측면을 보여주는 대표적인 사례로, 실제로 구현되거나 사용되기 위한 기술 문서가 아님. 기술에 익숙한 사람들에게 즐거움을 주기 위해 만들어졌으며, 인터넷 역사에서 이러한 패러디 문서가 만들어질 수 있는 환경과 문화를 엿볼 수 있는 재미있는 자료입니다.
3. 패킷이 나눠서 통신된 이유(feat.MSS)
- MTU - (TCP 헤더 + IP 헤더) = MSS
- TCP의 경우 손실(Loss) 발생 시 해당 패킷을 다시 전송해야 하는데 크기가 크면 비용이 너무 많이 든다.
- 반대로 패킷이 너무 작아도 헤더가 자주 붙어서 오히려 비용이 많이 든다.
본 과제의 첨부된 패킷들의 경우 1460 크기로 5개 + 759 크기 1개로 분할되어 문서가 전달되었음
[1460 크기로 분할하여 수신된 이유]
- 네트워크 라우터의 MTU가 1,500이라고 가정하면 최대 1,500바이트 길이의 패킷만 수신하기 때문이다. (더 긴 패킷은 분편화된다.)
MTU - (TCP 헤더 + IP 헤더) = MSS
-> 1,500 - (20 + 20) = 1,460
라우터의 MSS는 1,460바이트로 설정해야 합니다. 페이로드 크기가 1,460바이트보다 큰 패킷은 삭제됩니다.
- 장치는 해당 장치와 다른 장치 사이에 있는 라우터의 MTU 및 MSS 설정을 인식하지 못하는 경우 실수로 이와 같이 지나치게 큰 패킷을 보낼 수 있다.
- 경로 MTU 검색이라고 하는 프로세스는 이러한 사고를 방지하는 데 도움이 된다.
- 문서의 total크기는 8059이다.
아래의 사진9, 사진10은 MSS 개념을 설명하기 위한 사진이다.
4. 결론 및 의문점
- 해당 패킷 데이터는 TCP 프로토콜이 데이터를 어떻게 송수신되는 지를 보여주는 간단한 캡처 데이터로 파악된다.
- 26~31 패킷의 경우 작은 데이터로 계속 PSH 응답으로 진행되었는데 이유가 무엇인지 궁금합니다.
- 패킷 25~26: 약 8.65초 지연 발생
