[OSI 7Layer] Data Link Layer 데이터링크 계층 (L2)

데이터링크 계층(Data Link Layer) 란?

   - Node To Node Delivery : 인접한 노드간의 신뢰성 있는 프레임(Frame) 전송을 담당하는 계층

   - 인접 노드간의 통신이며 최종 목적지 노드에 도달하기 위해서는 각각의 노드 간에 프레임에대한 MAC Address로 이루어 진다.

   - 데이터 단위 : 프레임(Frame)

   - 프로토콜 : Ethernet, TokenRing, FDDI, X.25 등

주요 기능

   - 흐름 제어(Flow Control) : 송신노드가 수신노드의 처리속도를 고려하여 이를 초과하지 않도록 전송을 제어한다. 

                                       수신노드가 수신확인응답을 송신노드에 제공함으로써 흐름 제어 수행하며 2가지 방식이 있다.

            1) 정지-대기(Stop and Wait) : 송신측에서 프레임을 전송한 후 확인응답(ACK)을 받을 때까지 대기하는 방식

            2) 슬라이딩 윈도우(Sliding Window) : 송신측에서 수신측의 확인응답을 받기 전에 수신 가능한 범위 내에서 여러 프레임을 전송

   

   - 오류 제어(Error Control) : 전송 중에 주파수 혼란, 감쇠, 잡음 등에 의한 오류나 손실 발생 시 이를 해결하기 위한 제어방식이다.

            

            1) 후진 오류 수정방식 : 송신측에서 데이터를 전송 시 오류를 검출할 수 있는 부가정보를 함께 전송하여 수신측에서 오류 

                                           발생 시 재전송을 요청하는 방식

            2) 전진 오류 수정방식 : 재전송이 불필요한 방식으로 송신측에서 데이터 송신 시에 오류의 검출 및 수정까지 가능한 

                                           부가 정보를 담아서 보내는 방식

   - 회선 제어(Line Control) : 점대점 또는 다중점 회선 구성 방식과 단방향, 반이중 및 전이중 등의 전송방식에 따라 사용되는 

                                      전송 링크에 대한 제어 규범이다.

주요 네트워크 장비

   1) L2 스위치

사진출처 : 시스코

     - 스위치 장비는 내부적으로 MAC Address Table을 가지고 있다. 

     - MAC Address Table정보를 참조하여 목적지 MAC 주소의 포트에 연결된 노드에게만 패킷을 전송한다.

     - 스위치 환경에서 특정 포트를 모니터링 하고자 한다면 탭(TAP)장비를 통해 패킷을 복제해서 트래픽 분석 장비(TMS)로 전달한다.

     - 스위치 환경에서는 기본적으로 목적지로만 패킷을 전송하기 때문에 스니핑이 불가능하다.

     - 스니핑을 하기 위해서는 스위치 재밍, ARP 스푸핑, ARP 리다리렉트 등이 이용된다.

   

   2) 브릿지(Bridge)

     - 물리적으로 떨어진 동일한 LAN을 연결해주는 장비

     - 요즘엔 스위치로 많이 대체된다고 한다.

스위치 환경에서 스니핑 공격 기법 (중요!!)

1) 스위치 재밍(Switch Jamming)

    - 스위치 MAC Address Table의 버퍼를 오버플로우 시켜서 강제적으로 스위치가 허브처럼 동작하게 만드는 기법

    - 스위치는 Fail/Safe/Open 정책을 따르는 장비이므로 장애가 발생하면 더미 허브처럼 연결된 모든 노드에 패킷을 전송한다.

    - MAC Address Table을 오버플로우 시키기 위해 Source MAC주소를 계속 변경하면서 패킷을 지속적으로 전송하는 방식을 사용

2) ARP 스푸핑(Spoofing)

    - 공격자가 특정 호스트의 MAC주소를 자신의 MAC주소로 위조한 ARP Reply패킷을 만들어 피해자에게 지속적으로 전송하면 

      피해자의 ARP Cache Table에 특정 호스트의 MAC정보가 공격자의 MAC정보로 변경된다. 이를 통해서 피해자로부터 특정 

      호스트로 나가는 패킷을 공격자로 향하도록 하여 스니핑하는 기법

    - 피해자와 특정 호스트간의 송수신 패킷을 모두 스니핑하기 위해서는 피해자와 특정 호스트 모두 ARP 스푸핑을 수행한다.

    - 피해자들이 스니핑을 인식하지 못하고 정상적인 통신이 될 수 있도록 IP Forward 기능을 활성화한다.

3) ARP 리다이렉트(Redirect)

    - ARP 스푸핑의 일종으로 공격자가 자신이 라우터/게이트웨이인 것처럼 MAC주소를 위조하여 ARP Reply패킷을 대상 네트워크에 

      지속적으로 브로드 캐스트하면 해당 로컬 네트워크의 모든 호스트의 ARP Cache Table에 라우터/게이트웨이의 MAC 정보가

      공격자의 MAC정보로 변경된다. 이를 통해 호스트에서 라우터로 나가는 패킷을 스니핑하는 기법.