보안기사 - 네트워크 관리 명령어

ping 명령

end 노드 간에 네트워크 상태를 관리하기 위한 명령어
target 시스템에 대한 접근성, 해당 구간에 대한 네트워크 속도 및 품질(손실률)을 검사
ICMP Echo Request(type 8), ICMP Echo Reply(type 0) 메시지 이용

• 윈도우
  -n 패킷 전송 횟수 설정 (default 4)
  -l 패킷 크기 설정 (default 32bytes)
• 리눅스
  -c 패킷 전송 횟수 (default 무한)
  -s 패킷 크기 설정 (default 56bytes)

traceroute/tracert 명령

end 노드 사이에 있는 여러 중계 노드(L3장비/라우터), 각 구간에 대한 네트워크 상태를 관리하기 위한 명령어
네트워크의 라우팅 문제점을 찾아내는 목적으로 많이 사용
최종 목적지 노드에 도달하는데 경유하는 중계노드 개수, IP 주소, 응답시간 등을 파악할 수 있다
각 구간에 대한 접근성 및 네트워크 속도 검사
유닉스/리눅스는 traceroute, 윈도우는 tracert 사용

유닉스/리눅스 traceroute 동작방식

IP의 TTL 필드를 1로 설정한 UDP 패킷을 전송 -> TTL이 0이 되면 TTL초과로 판단하여 해당 패킷 폐기 후 ICMP Time Exceeded (type 11) 패킷을 최초 출발지로 전송
보안상의 이유로 라우터에서 ICMP 응답을 주지 않는 경우가 많다 - 응답시간이 *로 표시되는 경우가 응답이 없는 경우로 보안상의 이유나 실제 해당 구간에 문제가 발생한 경우인 것
TTL 값을 1씩 증가시키면서 UDP 패킷을 지속적으로 전송하여 다음 중계 구간에 대한 네트워크 상태 판단
최종 목적지에 UDP 패킷이 도달하면 해당 UDP 포트가 닫혀있으므로 ICMP Destination Unreachable (type 3) 패킷이 반환되며 최초 출발지 호스트는 이 정보를 이용해 최종 목적지 호스트에 도달했음을 알 수 있게 된다

윈도우 tracert 동작방식

IP의 TTL 필드를 1로 설정한 ICMP Echo Request(type 8) 패킷 전송
(traceroute와 동일)
최종 목적지에 UDP 패킷이 도달하면 ICMP Echo Reply(type 0) 패킷이 반환되며 최초 출발지 호스트는 이 정보를 이용해 최종 목적지 호스트에 도달했음을 알 수 있게 된다

netstat 명령

시스템의 네트워크 관련 다양한 상태정보 관리할 수 있는 명령어

옵션	제공정보
옵션 없음	모든 연결된 (ESTABLISHED) 소켓 상태정보
-a	모든 소켓 상태 정보
-i	네트워크 인터페이스 정보 (=> ifconfig 명령어로도 가능) ERR는 오류가 발생한 수신 패킷수, DRP는 폐기된 수신 패킷수, OVR은 과도한 양의 수신 패킷에 의한 오버플로우 발생으로 폐기된 패킷수 -> 얘네가 많으면 뭔가 문제가 있을 수 있다
-r	시스템 라우팅 테이블 정보
-s	시스템 부팅 이후부터 현재까지 누적된 각 프로토콜별(TCP, UDP, ICMP, IP 등) 통계 정보
-t	TCP 소켓 출력 (ESTABLISHED)
-u	UDP 소켓 출력
-n	네트워크 주소를 숫자형식으로 출력 없으면IP는 도메인명, port는 서비스명으로..
-p	해당 소켓의 프로세스명/pid 정보를 출력 TCP 소켓을 열고 있는 프로세스를 확인하는데 유용

ifconfig 명령 (유닉스/리눅스)

유닉스/리눅스 시스템에서 네트워크 인터페이스 설정정보 조회하거나 IP주소나 서브넷 마스크 등의 설정을 변경할 때 사용
(windows는 ipconfig)

00:0c:29:36:08:83
    MAC 주소
inet 192.168.75.129 netmask 255.255.255.0 broadcast 192.168.75.255
    ip주소, 브로드캐스트 주소, 넷마스크
flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
    UP은 현재 인터페이스가 활성화 상태임, BROADCAST는 인터페이스가 브로드캐스트를 지원함, RUNNING는 인터페이스가 실행 중임, MULTICAST는 멀티캐스트 지원함을 의미
    MTU는 1500bytes

• 인터페이스에 promiscuous 모드 설정 (-> 스니핑)
  ifconfig 인터페이스명 promisc
  /var/log/messages 로그 파일에서 전환되었음 확인 가능
  외부 침입자에 의한 불법적 스니핑 목적의 모드 전환이 발생할 수 있으므로 주의
  (해제는 ifconfig 인터페이스명 -promisc)