TCP 플래그 동작 예시
- 3-Way Handshake 복습
- Client 에서 Server 에 먼저 SYN 플래그가 Set(1) 된 패킷을 보냄
- 시작 시퀀스 번호(seq = x) 를 보냄
- Server 에서 SYN 플래그와 ACK 플래그를 Set(1) 한 패킷을 전송
- 클라이언트의 시퀀스 번호에 대한 ACK 응답 번호 (x+1) 와 **자신의 시퀀스 번호(seq = y)**를 함께 전송
- Client 에서 ACK 플래그를 Set(1) 한 패킷을 전송
- 서버의 시퀀스 번호에 대한 ACK 응답 번호(y + 1) 를 보냄
- Client 에서 Server 에 먼저 SYN 플래그가 Set(1) 된 패킷을 보냄
주요 TCP 플래그
- ACK (Acknowledgement)
- 수신한 데이터에 대한 정상 수신 응답(확인 응답).
- 모든 TCP 세션에서 필수적으로 사용되며, 상대방의 시퀀스 번호 + 1 값을 ACK 번호로 보냄.
- PSH (Push)
- 데이터를 즉시 응용 계층으로 전달하라는 의미.
- 버퍼링 없이 데이터를 바로 처리해야 할 때 사용됨. (예: 실시간 채팅 등)
- RST (Reset)
- 비정상적인 연결 종료나 잘못된 세션 요청에 대한 강제 연결 해제 신호.
- 예: 존재하지 않는 포트에 접근 시 서버가 RST로 응답.
- SYN (Synchronize)
- 연결 시작 요청 시, 시퀀스 번호 설정을 위한 플래그.
- FIN (Finish)
- 더 이상 보낼 데이터가 없음을 알리며, 정상적인 연결 종료 요청.
- 연결 해제는 FIN → ACK → FIN → ACK의 순서로 이루어짐 (4-way handshake)
TCP 플래그 추출
if (pTcp->flags == 0x02) // 0000 0010
puts("SYN");
else if (pTcp->flags == 0x12) // 0001 0010
puts("SYN + ACK");
else if (pTcp->flags == 0x10) // 0001 0000
puts("ACK");
if(pTcp->flags & 0x04) // 0000 0100
puts("*RST");
→ & 비트 연산자를 사용하지 않는 이유
- 0000 0000 이나 1111 1111 같은 비정상 플래그를 걸러내고 정확한 flag 값인지 확인할 수 있다.
(중요 !!!) TCP 헤더 구조체를 정의한 뒤, TCP 헤더 위치로 포인터를 이동시켜 TCP 헤더를 간단하게 분석하는 실습
#include <stdio.h>
#include <pcap.h>
#include <time.h>
#pragma comment(lib, "wpcap")
#pragma comment(lib, "ws2_32")
#include <tchar.h>
#include <WinSock2.h>
#pragma pack(push, 1)
typedef struct EtherHeader {
unsigned char dstMac[6];
unsigned char srcMac[6];
unsigned short type;
} EtherHeader;
typedef struct IpHeader {
unsigned char verIhl;
unsigned char tos;
unsigned short length;
unsigned short id;
unsigned short fragOffset;
unsigned char ttl;
unsigned char protocol;
unsigned short checksum;
unsigned char srcIp[4];
unsigned char dstIp[4];
} IpHeader;
// TCP Header 구조체 정의
typedef struct TcpHeader {
unsigned short srcPort;
unsigned short dstPort;
unsigned int seq;
unsigned int ack;
/*
data 필드에서 option 유무에 대해서 알아야
TCP 헤더의 정확한 offset 을 뽑아낼 수 있음
*/
unsigned char data;
unsigned char flags;
unsigned short windowSize;
unsigned short checksum;
unsigned short urgent;
} TcpHeader;
#pragma pack(pop)
BOOL LoadNpcapDlls()
{
_TCHAR npcap_dir[512];
UINT len;
len = GetSystemDirectory(npcap_dir, 480);
if (!len) {
fprintf(stderr, "Error in GetSystemDirectory: %x", GetLastError());
return FALSE;
}
_tcscat_s(npcap_dir, 512, _T("\\\\Npcap"));
if (SetDllDirectory(npcap_dir) == 0) {
fprintf(stderr, "Error in SetDllDirectory: %x", GetLastError());
return FALSE;
}
return TRUE;
}
void dispatcher_handler(u_char* temp1,
const struct pcap_pkthdr* header,
const u_char* pkt_data)
{
// Ethernet Header 주소 찾기
EtherHeader* pEther = (EtherHeader*)pkt_data;
// IP Header 주소 찾기 (Ethernet 헤더 뒤에 IP 헤더가 위치)
IpHeader* pIpHeader = (IpHeader*)(pkt_data + sizeof(EtherHeader));
// ipv4 가 아니면 종료
// Ethernet 타입 필드: IPv4 = 0x0800 (Big-endian) 이지만
// 0x0008로 비교하는 건 Little-endian 환경 고려한 것 !!!
// (type : 다음 상위 계층의 헤더가 어떤 Layer 계층인지 확인)
if (pEther->type != 0x0008) // if (ntohs(pEther->type) != 0x0800) 과 같은 의미
return;
// TCP 프로토콜이 아니면 종료
if (pIpHeader->protocol != 6) // != TCP
return;
// (중요!) IP 헤더 길이 값을 나타내는 IHL 로 분리하고 4 BYTE 단위를 적용하여
// ipLen 을 구하고, TCP Header 주소를 찾는다 !!
int ipLen = (pIpHeader->verIhl & 0x0F) * 4;
TcpHeader* pTcp =
(TcpHeader*)(pkt_data + sizeof(EtherHeader) + ipLen);
// 출발지 IP:PORT -> 목적지 IP:PORT 추출하기
printf("%d.%d.%d.%d:%d -> %d.%d.%d.%d:%d\\n",
pIpHeader->srcIp[0], pIpHeader->srcIp[1],
pIpHeader->srcIp[2], pIpHeader->srcIp[3],
ntohs(pTcp->srcPort),
pIpHeader->dstIp[0], pIpHeader->dstIp[1],
pIpHeader->dstIp[2], pIpHeader->dstIp[3],
ntohs(pTcp->dstPort)
);
// TCP 헤더에서 플래그 추출
if (pTcp->flags == 0x02) // 0000 0010
puts("SYN");
else if (pTcp->flags == 0x12) // 0001 0010
puts("SYN + ACK");
else if (pTcp->flags == 0x10) // 0001 0000
puts("ACK");
if (pTcp->flags & 0x04) // 0000 0100
puts("*RST");
}
int main(int argc, char** argv)
{
pcap_t* fp;
char errbuf[PCAP_ERRBUF_SIZE];
if (!LoadNpcapDlls())
{
fprintf(stderr, "Couldn't load Npcap\\n");
exit(1);
}
/* Open the capture file */
if ((fp = pcap_open_offline(
"C:\\\\SampleTraces\\\\http-browse-ok.pcap",
errbuf)) == NULL)
{
fprintf(stderr, "\\nUnable to open the file %s.\\n",
"C:\\\\SampleTraces\\\\http-browse-ok.pcap");
return -1;
}
/* read and dispatch packets until EOF is reached */
pcap_loop(fp, 0, dispatcher_handler, NULL);
pcap_close(fp);
return 0;
}
