Wireshark 데이터링크 계층(Data link layer) 분석

1. 데이터 링크 계층(Data link layer) 정의 

 

OSI 7 layer에서 2계층에 속하며, 하드웨어 주소인 MAC Address를 통해 인접한 노드 사이의 통신을 보장한다. 

2계층의 PDU(Protocol Data Unit)는 프레임(Frame)이다. 2계층에 대표적인 프로토콜은 이더넷(Ethernet)이 있다.

 

2.  데이터 링크 계층(Data link layer) 프로토콜 분석

 

 

[그림 1] Ethernet Frame

 

Interface id는 캡처한 패킷의 인터페이스를 나타낸다.

Encapsulation type은 패킷의 캡슐화 종류를 나타낸다. [그림 1]을 보면 Ethernet (1)은 Ethernet 2 패킷으로 캡슐화 되었음을 나타낸다.

Arrival time은 패킷을 캡처한 시간을 나타낸다.

Time since reference or first frame은 처음 패킷을 캡처한 시점부터 현재 선택되어 있는 패킷을 캡처한 시점까지의 경과 시간을 나타낸다.

Frame number는 캡처한 패킷에 번호가 순서대로 매겨진다. 

Frame length는 프레임의 크기를 나타낸다. 

Frame is marked는 프레임이 손상되었는지 여부를 나타낸다. 

Frame is ignored는 프레임이 무시되었는지 여부를 나타낸다.

[그림 2] Ethernet Frame

Ethernet 헤더는 Destination MAC Address(6Byte), Source MAC Address(6), Ethernet Type(2)로 구성 

Destination MAC Address는 도착지 MAC주소를 나타낸다.

Source MAC Address은 출발지 MAC주소를 나타낸다. 

Ethernet Type는 상위 계층의 타입을 정의하고 있다. Ethernet Type이 0x0800는 IPv4, 0x0806이면 ARP이다. 

IG bit는 멀티캐스트 통신 인지 유니캐스트 통신인지 알 수 있다. 여기서 0으로 Set되었고, Individual address(unicast)로 표시되어 있는것 을 보아 유니캐스트 통신임을 알 수 있다. 

LG bit는 원래 부여된 주소와 다른 주소 여부를 확인 할 수 있다. 

아래 [그림 2]의 Source필드를 보면 LG bit가 0으로 Set되어 있으므로 NIC의 MAC Address가 원래 부여 된 주소 그대로 사용되고 있음을 알 수 있지만, Destination필드를 보면 LG bit가 1으로 Set되어 있으므로 도착지의 MAC Address는 원래 부여된 주소가 아닌 다른 주소를 사용하고 있음을 알 수 있다.