네트워크 정리

네트워크 정리

 

1. OSI 7계층

2020.04.29 - [📝 Computer Science/✏ Network & Web] - OSI 7계층

OSI 7계층

 

2. TCP/IP와 TCP/UDP

2020.04.30 - [📝 Computer Science/✏ Network & Web] - TCP/IP와 TCP/UDP

TCP/IP와 TCP/UDP

 

3. HTTP

2020.04.30 - [📝 Computer Science/✏ Network & Web] - HTTP

HTTP

2020.05.14 - [📝 Computer Science/✏ Network & Web] - HTTP Method

HTTP Method

 

4. URL, URI, URN

2020.05.14 - [📝 Computer Science/✏ Network & Web] - URI, URL, URN

URI, URL, URN

 

5. 웹 서버와 웹 애플리케이션 서버

2020.05.14 - [📝 Computer Science/✏ Network & Web] - 웹 서버(WS)와 웹 애플리케이션 서버(WAS)

웹 서버(WS)와 웹 애플리케이션 서버(WAS)

 

6. 포워드 프록시와 리버스 프록시

2020.05.14 - [📝 Computer Science/✏ Network & Web] - 포워드(Forward) 프록시와 리버스(Reverse) 프록시

포워드(Forward) 프록시와 리버스(Reverse) 프록시

 

7. 쿠키와 세션

2020.05.14 - [📝 Computer Science/✏ Network & Web] - 쿠키(Cookie)와 세션(Session)

쿠키(Cookie)와 세션(Session)

 

8. REST와 RESTful

2022.08.06 - [📝 Computer Science/✏ Network & Web] - REST API와 RESTful API

REST API와 RESTful API

 

9. CORS(Cross Origin Resource Sharing)

1) 개념

CORS란 서로 다른 도메인 간에 자원을 공유하는 것을 의미한다.

• 보안의 이유로 브라우저 간에 기본적으로 차단되어 있다.
• Origin은 출처를 의미하며 'Protocol + Host + Port'를 합친 것을 말한다.
• Origin이 같으면 CORS 오류는 발생하지 않지만, 다른 출처로 자원을 요청하면 CORS 오류가 발생한다.

개발자 도구에서 location.origin을 치면 해당 사이트의 origin을 확인할 수 있다. (https(443), http(80) 포트는 생략 가능)

 

2) CORS 오류 해결 방법

서버에서 응답 헤더에 특정 헤더를 포함하는 방식으로 해결할 수 있다.

• Access-Control-Allow-Origin: 특정 브라우저가 리소스에 접근이 가능하도록 허용한다.
• Access-Control-Allow-Method: 특정 HTTP Method만 리소스에 접근이 가능하도록 허용한다.
• Access-Control-Expose-Headers: 자바스크립트에서 헤더에 접근할 수 있도록 허용한다.
• credentials: 쿠키 등의 인증 정보를 전달할 수 있다.

 

10. JWT(Json Web Token)

1) 개념

JWT란 Json 포맷을 이용하여 사용자에 대한 속성을 저장하는 Web Token이다.

• 토큰 자체를 정보로 사용하는 자가 수용적인(Self-Contained) 방식으로 정보를 안전하게 전달한다.
• 주로 회원 인증이나 정보 전달에 사용된다.

 

2) 구조

JWT 구조

• Header: Signature를 해싱하기 위한 알고리즘이나 토큰의 타입을 지정하는 부분이다.
• Payload: 토큰에서 사용할 정보의 조각들인 Claim으로 구성되어 있다. Payload에 담는 정보의 한 조각을 Claim이라고 부르고, 이는 key/value의 한 쌍으로 이루어져 있다.
• Signature: 토큰을 인코딩하거나 유효성 검증을 할 때 사용하는 고유한 암호화 코드이다.

 

3) 인증 흐름

JWT 인증 흐름 (https://velog.io/@42seouler/hoTechCourse06)

 

11. url에 www.example.com을 쳤을 때 일어나는 일들 

웹 동작 방식

1. 주소창에 url 입력한다.
2. DNS 서버에서 도메인에 해당하는 IP 주소를 요청한다.
   1. 로컬 DNS, 루트 DNS, .COM DNS에서 IP 주소를 요청한다.
   2. 없다면 ex(naver.com, google.com)을 관리하는 DNS에서 IP 주소를 요청한다.
3. 신한 IP 주소에 해당하는 웹 서버에 접속한다.
   1. 사용자의 PC는 DHCP 서버에서 사용자 자신의 IP 주소, 가장 가까운 라우터의 IP 주소, 가장 가까운 DNS 서버의 IP 주소를 받는다.
   2. 이후, ARP를 이용해서 IP 주소를 기반으로 가장 가까운 MAC 주소를 알아낸다.
   3. 외부와 통신할 준비를 마쳤으므로, DNS Query를 DNS 서버에 송신한다. DNS 서버는 이에 대한 결과로 웹 서버의 IP 주소를 사용자 PC에 돌려준다.
   4. 이제 IP를 알아냈으므로, HTTP Request를 위해 TCP Socket을 개방하고 연결한다. (3 way handshaking)
      1. 클라이언트가 서버로 연결 요청(SYN 플래그)을 보내고 서버가 요청에 응답하며(SYN + ACK) 포트를 개방해 달라 한다.
      2. 클라이언트가 수락하는 응답(ACK)을 보낸다.
      3. TCP 연결에 성공하면 HTTP Request가 TCP Socket을 통해 보내지고, 응답으로 웹페이지의 정보를 받는다.

 

12. 기타

• 릴레이 서버
• 홀펀칭
• 네이글 알고리즘
• 슬라이딩 윈도우

 

---

보안

 

1. 공개키(Public Key) 암호화와 개인키(Private Key) 암호화

1) 공개키(Public Key) 암호화 = 비대칭키(Asymmetric) 암호화

• 데이터를 암호화할 때 사용하는 공개키는 사용자에게 공개하고 복호화할 때 비밀키는 관리자가 비밀리에 관리한다.
• 사용자의 데이터를 공개키로 암호화하고 서버로 전송한다. 데이터를 받으면 서버의 개인키를 통해 복호화하여 요청을 처리한다.
• 대표 알고리즘으로 RSA가 있다.
  • 사용자는 임의의 큰 소수 두 개를 비밀키로 삼고 그 곱한 값을 공개키로 공개한다.

 

2) 개인키(Private Key) 암호화 = 대칭키(Symmetric) 암호화

• 동일한 키로 데이터를 암호화하고 복호화한다.
• 매우 빠르지만 전달 과정에서 해킹 위험에 노출될 수 있다.

 

2. CSRF(Cross-site request forgery)

1) 개념

CSRF는 사이트 간 요청 위조의 약자로 웹 애플리케이션 취약점 중 하나로 공격자가 의도한 대로 사용자가 행동하게 하여 특정 웹페이지를 보안에 취약하게 한다거나 수정, 삭제 등의 작업을 하게 만드는 공격 방법을 의미한다.

 

2008년도에 있었던 옥션 해킹 사고도 CSRF 공격을 했다고 한다.
해커가 옥션 운영자에게 CSRF 코드가 포함된 이메일을 보내서 관리자 권한을 얻어냈다.

1. 옥션 관리자 중 한 명이 권한을 가진채 회사 내에서 작업을 하던 중 메일을 조회한다. (로그인이 되어있으니 관리자로서의 유효한 쿠키를 가지고 있음)

<img src="http://auction.com/changeUserAcoount?id=admin&password=admin" width="0" height="0">

2. 해커는 위와 같이 태그가 들어간 코드가 담긴 이메일을 보낸다.
3. 관리자가 이메일을 열어볼 때, 이미지 파일을 받아오기 위해 위 URL이 열린다.
4. 해커가 의도한 대로 관리자 계정 id와 pw가 admin으로 변경된다.

 

2) 해결 방법

• 사용자의 요청에 referrer를 확인하여 도메인이 일치하는지 확인하는 방법으로 공격을 방어한다.
  • 요청 헤더(request header)에서 referrer 정보를 확인할 수 있다.
  • 같은 도메인에서 들어오는 접속은 허용하나 다른 도메인에서 호출할 때는 차단하는 개념이다.
•  상태를 변화시키는 POST, PUT 등의 요청에 대해 csrf 토큰이 포함되어야만 요청을 처리하여 공격을 방어한다.

 

3. XSS(Cross-Site Scripting)

1) 개념

XSS는 사이트 관리와 아무 연관이 없는 제 3자가 웹 페이지에 악성 스크립트를 삽입해 공격을 하는 것이다.

• 삽입된 스크립트를 통해 다른 웹사이트와 정보를 교환하는 식으로 작동하기 때문에 Cross-Site 이름이 붙게 되었다.
• 웹에서 기초적인 취약점을 공격하는 방법이다.
• 삽입하는 스크립트 내용에 따라서 쿠키나 세션, 토큰 등의 탈취가 가능하기 때문에 이를 인증이나 세션 관리에 사용하고 있는 사이트에 침입하거나 심각한 피해를 입힐 가능성이 있다.

 

2) 해결 방법

스크립트를 삽입하는 방식으로 발생하기 때문에 기본적으로 스크립트 태그를 사용한다. 그래서 스크립트 태그에 자주 사용되는 <, > 등과 같은 문자를 필터링해주는 방법으로 완벽하진 않지만 어느 정도 방어를 할 수 있다.

 

4. 기타

• 암호화, 복호화
• md5
• sha256
• aes 암호 알고리즘

 

---

인프라

 

1. 로드 밸런싱(Load Balancing)

요즘 웹사이트에 접속하는 인원이 급격히 늘어나게 되었다. 따라서 이 사람들에 대해 모든 트래픽을 감당하기엔 1대의 서버로는 부족하다. 대응 방안으로 하드웨어의 성능을 올리거나(Scale-up) 여러 대의 서버가 나눠서 일하도록 만드는 것(Scale-out)이 있다.

하드웨어 향상 비용이 더욱 비싸기도 하고, 서버가 여러 대면 무중단 서비스를 제공하는 환경 구성이 용이하므로 Scale-out이 효과적이다. 이때 여러 서버에게 균등하게 트래픽을 분산시켜주는 것이 바로 로드 밸런싱이다.

 

로드 밸런싱

 

로드 밸런싱은 분산식 웹 서비스로 여러 서버에 부하(Load)를 나누어주는 역할을 한다. Load Balancer를 클라이언트와 서버 사이에 두고, 부하가 일어나지 않도록 여러 서버에 분산시켜주는 방식이다. 서비스를 운영하는 사이트의 규모에 따라 웹 서버를 추가로 증설하면서 로드 밸런서로 관리해주면 웹 서버의 부하를 해결할 수 있다.

 

2. nslookup(Name server lookup)

nslookup은 DNS 서버로부터 여러 가지 정보를 얻을 수 있는 명령어이다.

 

nslookup