2. 컴퓨터 구조를 통해 이해하는 파일(File)과 소켓(Socket)

이전 글을 통해 컴퓨터 구조의 큰-느낌은 알았다. 이제 실제로 컴퓨터가 어떻게 돌아가는지, 각 레이어끼리는 어떻게 데이터를 주고 받는지, 파일입출력과 네트워크 동작을 예로 들어서 공부해보자.

0. 컴퓨터 구조

유저-커널-하드웨어 레이어로 구분한 컴퓨터 구조는 이전 글에서 자세히 정리했다.

1. 파일 (File)

내가 알던 그 파일 맞니?

undefined

드라이버(Driver)

하드웨어 영역에 설치된 장치(Device)를 구동하기 위해서는 커널 영역의 장치 드라이버 가 필요하다. 드라이버는 운영체제의 구성요소(파일 시스템 등)장치 간의 상호 통신을 가능하게 한다.

NTFS(New Technology File System)

파일 시스템(file system)은 컴퓨터에서 파일이나 자료를 쉽게 발견 및 접근할 수 있도록 보관 또는 조직하는 체제를 가리키는 말이다. NTFS는 윈도우에 최적화 되어있는 파일 시스템 종류이다.

파일(File)

유저모드 어플리케이션이 커널에 진입할 수 있도록 추상화된 인터페이스파일이다. 유저모드에서 커널모드에 진입할 수 있는 유일한 수단이다. 다리같은.

I/O Format

파일은 대상체, 프로세스는 주체이다. 주체가 대상체를 상대로 무엇인가를 한다. 프로세서가 파일에 대해서 하는 가장 흔한 일은 입출력이다.

필터(Filter)

파일과 구성요소 사이, 구성요소와 드라이버 사이에는 필터가 들어갈 수 있다. 필터를 통해 파일 시스템에서 관리되는 어떤 파일을 누가 어떻게 여는지 감시할 수 있다. 만약 실행되는 파일이 바이러스인지 아닌지를 감시하면 그게 바로 실시간 감시 프로그램, V3인 것이다. 우리가 V3같은 안티-바이러스 프로그램 혹은 백신을 설치하면 컴퓨터가 느려지는 이유가, 입출력 과정에서 필터가 들어가기 때문이다.

정리하자면, 우리가 흔히 어플리케이션에서 어떤 클릭을 하면, 프로세스가 파일을 통해 구성요소에 정보를 주어 드라이버가 작동하고 드라이버에 의해 장치가 작동하는 방식이다.

2. 소켓(Socket)

undefined

NIC (Network Interface Controller, LAN카드)

컴퓨터를 네트워크에 연결하여 통신하기 위해 사용하는 장치. 하드웨어 레이어에 있다. 여기서 네트워크선이 레이어2(데이터 링크 계층의 프로토콜 이더넷) 스위치로 간다. 그 다음에는 라우터를 거쳐 인터넷으로 연결될 것이다.

NIC를 동작시키기 위해 TCP/IP 같은 프로토콜을 사용한다.

소켓(Socket)

인터넷 익스플로어 같은 어플리케이션을 이용해 인터넷을 사용하려면 역시 파일을 통해 장치와 연결해야한다. 그러나 이때는 파일이라고 부르지 않고, 소켓(Socket)이라고 한다. 소켓은 소프트웨어로 작성된 통신 접속점이라고 할 수 있는데 네트워크 응용 프로그램은 소켓을 통하여 통신망으로 데이터를 송수신하게 된다. 즉, 소켓의 본질은 파일이다.

소켓 인터페이스

소켓은 응용 프로그램에서 TCP/IP를 이용하는 창구 역할을 하며 응용 프로그램과 소켓 사이의 인터페이스를 소켓 인터페이스라고 한다. 한 컴퓨터내에는 보통 한 세트의 TCP/IP가 수행되고 있으며, 네트웍 드라이버는 LAN 카드와 같은 네트웍 접속 장치(NIU: Network Interface Unit)를 구동하는 소프트웨어를 말한다.

undefined

소켓에 대한 자세한 정의는 이 글을 참고하면 좋을 것 같다.

Wireshark과 WinPcap

WinPcap은 센서이다. 통신되는 데이터를 WinPcap이 copy해서 와이어샤크로 보낸다. 와이어샤크는 패킷 분석기라고 할 수 있다. 정체성이 analyzer이다. 드라이버와 프로토콜 사이에 오는 WinPcap이 네트워크를 연결한 컴퓨터(Host) 구조의 필터라고 볼 수 있다.

패킷 분석기 와이어샤크(WireShark)의 주요 특징

  • 천개이상의 수 많은 프로토콜을 지원하고 있다.

  • 실시간 패킷 캡쳐 또는 오프라인 분석을 지원

  • 멀티 플랫폼 환경을 지원하여, 윈도우,리눅스, 맥OSX 와 다양한 OS 에서 동작

  • 강력한 필터 엔진을 내장하고 있어 분석을 훨씬 수월하게 지원해 준다.

  • 1.2.5 버전에서는 약 85,000 개 이상의 출력필터를 지원한다. 예를 들어 TCP 프로토콜에서만 100 여개의 필터를 지원

  • libpcap 형태의 파일 포맷 형태 뿐만 아니라 여러 분석기의 포맷을 지원한다.

  • IPSec, SSL/TLS, WEP 등의 Decryption 기능을 지원

  • 컬러 기능을 통해 패킷 별로 색상을 적용하여 분석을 수월하게 해준다.

  • XML, CSV, 텍스트파일등의 포맷으로 데이터를 저장

  • 입/출력 그래프 및 다양한 통계 정보를 제공

  • 방화벽 차단 룰 작성을 지원

Last updated