[정보보안 정리] 네트워크 - TCP 프로토콜

*TCP 프로토콜

-연결 지향 프로토콜 : 물리적으로 전용회선이 연결되어 있는 것처럼 가상의 연결통로를 설정해서 통신하는 방식

(1) 순서제어 : 논리적인 연결통로를 통해 데이터를 주고받음으로써 데이터 전송순서 보장

(2) 스트림 기반 전송방식 : 데이터를 정해진 크기로 전송하는 것이 아니라 임의의 크기로 나누어 연속해서 전송

 

-신뢰할 수 있는 프로토콜

(1) 흐름제어 : 상대방이 받을 수 있는 만큼만 데이터를 효율적으로 전송

• 슬라이딩 윈도우 제어방식 사용
• 슬라이딩 윈도우 : 상대방이 수신 가능한 크기 내에서 데이터를 연속해서 전송

(2) 오류제어 : 데이터의 오류나 누락 없이 안전한 전송을 보장

(3) 혼잡제어 : 네트워크의 혼잡 정도에 따라 송신자가 데이터 전송량을 제어

 

---

 

*TCP 프로토콜 구조

https://itragdoll.tistory.com/57

-Source Port : 출발지 포트 번호

-Destination Port : 목적지 포트 번호

Sequence Number : 송신 데이터 순서 번호

(1) 송신 시 전송하는 데이터 시작 바이트 순번

(2) 연결설정 단계에서 초기 순서 번호(ISN:Initial Sequence Number)를 상호간 주고받음.

초기 순서번호는 0부터 시작X, 임의의 수 할당

-Acknowledgment Number : 상대방이 다음에 전송할 순서번호

-HLEN : 헤더 길이

-Reserved : 예약

-Control Flags

(1) URG : 긴급 데이터 설정

(2) ACK : 수신 확인 응답 설정

(3) PSH : 송수신 버퍼에 있는 데이터 즉시 처리

(4) RST : 연결 중단(강제 종료)

(5) SYN : 연결 설정

(6) FIN : 연결 종료(정상 종료)

-Windows Size : 수신측에서 송신측에 보내는 Receiver window size. 수신 버퍼의 여유 공간

-Checksum : 헤더 포함 전체 세그먼트 오류 검사 필드

-Urgent Pointer : 세그먼트가 URG 포함 시 긴급 데이터 위치값 가짐

 

---

 

*연결 과정 설정(3-Way Handshake)

https://www.sciencedirect.com/topics/computer-science/three-way-handshake

-첫 번째 단계

(1) 최초 클라이언트는 서버와 연결 설정을 위해 SYN 전송.

Active Open : 연결요청을 위해 능동적으로 포트 열고 있는 상태

Passive Open : 연결 요청을 수용하기 위해 수동적으로포트를 열고 있는 상태

(2) SYN : 순서 번호 동기화. 랜덤값 시작

(3) 최초 SYN 패킷을 보낸 TCP 상태 : SYN_SENT

 

-두 번째 단계

(1) 클라이언트의 연결 요청(SYN)에 수신 확인 응답(ACK)와 함께 서버에서 클라이언트로 연결 요청(SYN)

(2) ACK시 반드시 Acknowledgment Number 설정 : 상대방이 다음에 보낼 패킷의 순서 번호

SEQ=x 다음의 SYN+ACK에서 Ack.Num이 x+1이 된 이유

(3) SYN패킷 수신 TCP 상태 : SYN_RECEIVED

 

-세 번째 단계

(1) server의 SYN에 대해 ACK를 전송한 후 최종적으로 연결 설정 완료

(2) ACK 후 TCP 상태 : ESTABLISHED

 

-비트

(1) SYN : 000010

(2) SYN+ACK : 010010

(3) ACK : 010000

 

---

 

*데이터 송수신 과정

-재전송 과정(Retransmission)

https://www.javatpoint.com/tcp-retransmission

 

-빠른 재전송(Fast Retransmission)

https://stackoverflow.com/questions/53932903/what-ack-number-does-the-receiver-send-after-a-fast-retransmit-in-tcp

 

---

 

*연결 종료 과정(4-Way Handshake)

FIN_WAIT_1	첫 번째 FIN+ACK 패킷에 대한 ACK 대기
FIN_WAIT_2	첫 번째 FIN+ACK 패킷에 대한 ACK 수신 후, 두 번째 FIN+ACK 패킷을 수신할 때까지 대기
TIME_WAIT	마지막 ACK 전송 후 2MSL
CLOSE_WAIT	상대방의 첫 번째 FIN+ACK 패킷에 대한 ACK 응답 후 두 번째 FIN+ACK 패킷 전송까지 대기
LAST_ACK	두 번째 FIN+ACK 전송 후 마지막 ACK 대기
CLOSED	종료

 

-비트

(1) FIN+ACK : 010001

(2) ACK : 010000

 

---

 

*연결 요청 거부(강제 종료)

 

---

 

*연결 중단(abort)

 

---

 

*TCP 세션 하이재킹(Session Hijacking)

https://m.blog.naver.com/jb8917/120177378997

: 세션 식별정보 (출발지 IP와 Port, 목적지 IP와 Port, Sequence Number와 Acknowledgment Number)를

공격자가 위조하여 세션을 탈취하는 공격.

정상적인 사용자의 출발지 IP와 Port로 위조하고 Sequence Number를 예측하여 세션 탈취.