HTTP 패킷 분석 방법론

작성자: JohnG
편집자: 엔시스


JohnG입니다.

이전 웹,HTTP 이해를 이어 패킷 분석에 대해 정리해 볼까 합니다.

웹,HTTP 이해(1): http://boanin.tistory.com/101
웹,HTTP 이해(2): http://boanin.tistory.com/105

잠시 이전 글을 요약해 보겠습니다.

HTTP 메시지 포맷에 대해 언급할때 클라이언트와 서버간의 패킷은 요청 메시지와 응답 메시지로 이루어져 있었습니다.

여기서 클라이언트가 요청할 때의 메시지 방식 (GET, POST, HEAD, PUT, DELETE)을 상황에 따라 전송한다고 했습니다. 또한 응답 메시지 역시 상황에 따라  상태 코드와 문장(200 OK, 301 Moved Permanently, ... )을 포함하여 응답 메시지를 전송합니다.

또한 쿠키와 웹 프락시(웹 캐시)에 대해 다뤘습니다.

위 내용을 정리한 이후 이번 포스팅에서는 실제 웹 패킷을 확인해 보겠습니다.

먼저 이번 포스팅을 하면서 파로스(Paros)라는 클라이언트 웹 프락시 서버를 아래와 같이 미리 구현해 두었습니다.

Paros proxy
클라이언트에서 사용하는 웹 프락시 입니다.
사용자의 브라우저와 서버 사이에 웹 프락시 서버를 구동시켜 지나가는 패킷을 모두 확인할 수 있는 기능이 있습니다.
물론 패킷 조작도 가능하기때문에 어떤 사용자가 사용하느냐에 따라 좋은 도구가 될 수도 혹은 악의적인 도구가 될수도 있는 툴입니다.

Paros : http://www.parosproxy.org
위의 홈페이지에서 툴을 얻으실 수 있습니다.

Paros를 설치하기전에 확인해 두어야 할점은 현재 시스템에 Java 개발 툴인 JDK가 미리 설치 되어 있어야 합니다.
(Paros 홈페이지에서는 JRE설치도 가능하다고 나와 있지만 안되더군요; 결국 둘다 설치 해버렸습니다.)

글을 쓸때의 Java환경입니다.

Paros 설치가 완료 되면 아래 그림과 같이 프로그램이 실행됩니다.

Paros 설치와 실행이 된다면 이번에는 브라우저를 설정해 주어야 합니다. 클라이언트 웹 프락시이므로 브라우저와 서버(인터넷) 사이에 설정해주는 작업입니다.

브라우저(Windows Internet Explorer)의 도구 -> 인터넷 옵션 -> 연결 -> LAN 설정(가장 아래 버튼) 을 설정하면 아래와 같이 LAN 설정 윈도우 창이 뜹니다.

위 그림처럼 프록시 서버 사용함을 체크(빨간 원)를 하고 주소를 127.0.0.1 포트 번호 8080으로 설정한후 확인 버튼을 누르시면 됩니다. 서버의 주소를 로컬호스트(Local Host)로 지정하며, Paros 프록시 서버의 기본 디폴트 포트 번호인 8080으로 설정해주는것입니다.

만일 포트번호 8080을 사용하는 다른 클라이언트 서버를 사용하고 있다면 Paros에서 Tools->Options...->Local proxy를 확인해 보시면 프록시 서버의 주소와 포트번호 설정을 할 수 있습니다.

간단하게 클라이언트가 웹서버에 요청 메시지를 보내는것과 서버로 부터 응답 메시지를 받는 과정을 풀이해 보겠습니다.
위에서 설명한 Paros proxy 설정을 마친 후, 브라우저를 통해 www.google.com을 접속 하도록 하겠습니다.
(간단한 예를 들기 위해 google.com을 선택했으므로 그외 다른 목적은 없습니다.)

www.google.com의 기본 홈페이지에 접속할때의 모습입니다.
각각 3번의 요청 메시지와 응답메시지가 발생합니다.
아래 글을 보실때 웹,HTTP 이해(1) 에서의 요청,응답 메시지 포맷을 함께 참조 하시는것을 추천합니다.

1 요청 메시지(Request message)

GET http://www.google.co.kr/ HTTP/1.0
Accept: */*
Accept-Language: ko
UA-CPU: x86
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322) Paros/3.2.13
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: -----------------------------------------;
Host: www.google.co.kr
======================================================================================================
쿠키 내용은 삭제 했습니다.

1 응답 메시지 (Response message)

HTTP/1.0 200 OK
Date: Mon, 04 May 2009 11:05:27 GMT
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Cache-Control: no-cache, no-store, must-revalidate
Content-Type: text/html; charset=UTF-8
Server: igfe

데이터 (HTML 문서)
[#M_더보기|접기|<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Google</title><style type="text/css"><!--
#svc-tab .bgp-fr {background:transparent url(http://img0.gmodules.com/ig/images/korea/tab_sprite_02.gif) 0 0 no-repeat}#svc-toolbar .bgp-fr, .ttv {background:transparent url(http://img0.gmodules.com/ig/images/korea/product_icons_sprite_02.gif) 0 0 no-repeat}#prod1 .bgp-fr {background-position:0 0px;}#prod1:hover {color:#ea0000;}#prod1-tt .ttl,#prod1-tt .ttdl,#prod1-tt .ttdr {background-color:#ea0000;}#prod1-tt .ttc {border-color:#ea0000;}#prod1-tt .ttv {background-position:-364px 0px;}#prod2 .bgp-fr {background-position:0 -37px;}#prod2:hover {color:#0d53a4;}#prod2-tt .ttl,#prod2-tt .ttdl,#prod2-tt .ttdr {background-color:#0d53a4;}#prod2-tt .ttc {border-color:#0d53a4;}#prod2-tt .ttv {background-position:-364px -37px;}#prod3 .bgp-fr {background-position:0 -74px;}#prod3:hover {color:#878787;}#prod3-tt .ttl,#prod3-tt .ttdl,#prod3-tt .ttdr {background-color:#878787;}#prod3-tt .ttc {border-color:#878787;}#prod3-tt .ttv {background-position:-364px -74px;}#prod4 .bgp-fr {background-position:0 -111px;}#prod4:hover {color:#1da745;}#prod4-tt .ttl,#prod4-tt .ttdl,#prod4-tt .ttdr {background-color:#1da745;}#prod4-tt .ttc {border-color:#1da745;}#prod4-tt .ttv {background-position:-364px -111px;}#prod5 .bgp-fr {background-position:0 -148px;}#prod5:hover {color:#9e7eb9;}#prod5-tt .ttl,#prod5-tt .ttdl,#prod5-tt .ttdr {background-color:#9e7eb9;}#prod5-tt .ttc {border-color:#9e7eb9;}#prod5-tt .ttv {background-position:-364px -148px;}#prod6 .bgp-fr {background-position:0 -185px;}#prod6:hover {color:#ffb400;}#prod6-tt .ttl,#prod6-tt .ttdl,#prod6-tt .ttdr {background-color:#ffb400;}#prod6-tt .ttc {border-color:#ffb400;}#prod6-tt .ttv {background-position:-364px -185px;}#prod7 .bgp-fr {background-position:0 -222px;}#prod7:hover {color:#3aa4df;}#prod7-tt .ttl,#prod7-tt .ttdl,#prod7-tt .ttdr {background-color:#3aa4df;}#prod7-tt .ttc {border-color:#3aa4df;}#prod7-tt .ttv {background-position:-364px -222px;}
--></style>
<link rel="stylesheet" href="/ig/f/ag_XjF1x-LA/intl/ALL_kr/homepage.css" type="text/css"></head><body onload="_KO.init()"><div class="gbh" style="right:0"></div><div id="guser"><a href="/url?sa=p&pref=ig&pval=3&q=/ig">iGoogle</a><span class="separator">|</span><a href=" https://www.google.com/accounts/Login?continue=http://www.google.co.kr/&hl=ko">로그인</a></div><div style="clear:both"></div><div id="wrapper"><img id="logo" alt="Google" src="http://img0.gmodules.com/ig/images/korea/logo.gif" /><form action="http://www.google.co.kr/search" name="f" ><script><!--
function qs(el) {if (window.RegExp && window.encodeURIComponent) {var ue=el.href;var qe=encodeURIComponent(document.f.q.value);if(ue.indexOf("q=")!=-1){el.href=ue.replace(new RegExp("q=[^&$]*"),"q="+qe);}else{el.href=ue+"&q="+qe;}}return 1;}
// -->
</script><table id="svc-tab" class="bgp" cellpadding="3" cellspacing="2" border="0"><tr><td id="svc-tab0"><span class="bgp-fr"></span><span><strong>웹문서</strong></span></td><td class="separator svc-tab_noimg">|</td><td><a id="svc-tab1" href="http://images.google.co.kr/imghp?ie=UTF-8&oe=UTF-8&hl=ko&tab=wi" onclick="return qs(this)"><span class="bgp-fr"></span><span>이미지</span></a></td><td class="separator svc-tab_noimg">|</td><td><a id="svc-tab2" href="http://news.google.co.kr/nwshp?ie=UTF-8&oe=UTF-8&hl=ko&tab=wn" onclick="return qs(this)"><span class="bgp-fr"></span><span>뉴스</span></a></td><td class="separator svc-tab_noimg">|</td><td><a id="svc-tab3" href="http://maps.google.co.kr/maps?ie=UTF-8&oe=UTF-8&hl=ko&tab=wl" onclick="return qs(this)"><span class="bgp-fr"></span><span>지도</span></a></td><td class="separator svc-tab_noimg">|</td><td><a id="svc-tab4" href="http://www.google.co.kr/dictionary?ie=UTF-8&oe=UTF-8&hl=ko&tab=wD&langpair=en|ko" onclick="return qs(this)"><span class="bgp-fr"></span><span>사전</span></a></td><td class="separator svc-tab_noimg">|</td><td><a href="/options/"><span class="svc-tab_noimg">더보기 &raquo;</span></a></td></tr></table><div id="search_form"><input name="complete" type="hidden" value="1" /><input name="hl" type="hidden" value="ko" /><div><input autocomplete="off" name="q" id="q" type="text" maxlength="2048" size="55" title="Google 검색" value="" /></div><input name="btnG" type="submit" class="search_button" value="Google 검색" /><input name="btnI" type="submit" class="search_button" value="I'm Feeling Lucky" /></div><div id="search_options"><span id="search_scope"><input type="radio" name="lr" value="" checked id="all" /><label for="all"  >전체 웹</label><input type="radio" name="lr" value="lang_ko" id="il" /><label for="il">한국어 웹</label></span><a href="http://www.google.co.kr/advanced_search?hl=ko">고급검색</a><span class="separator">|</span><a href="http://www.google.co.kr/preferences?hl=ko">환경설정</a><span class="separator">|</span><a href=" http://www.google.co.kr/language_tools?hl=ko">언어도구</a></div></form><table id="svc-toolbar" class="bgp" cellpadding="3" cellspacing="2" border="0"><tr><td><a id="prod1" href="http://www.google.com/url?ct=pro&source=kwh&cd=1&q=http%3A//mail.google.com/mail%3Fhl%3Dko" title="스팸없는 대용량 이메일"><span class="bgp-fr"></span><span>Gmail</span></a></td><td><a id="prod2" href="http://www.google.com/url?ct=pro&source=kwh&cd=2&q=http%3A//www.google.com/calendar/render%3Fhl%3Dko" title="공유가 쉬운 웹 일정관리"><span class="bgp-fr"></span><span>캘린더</span></a></td><td><a id="prod3" href="http://www.google.com/url?ct=pro&source=kwh&cd=3&q=http%3A//toolbar.google.com/intl/ko/" title="브라우저에서 즐기는 구글"><span class="bgp-fr"></span><span>툴바</span></a></td><td><a id="prod4" href="http://www.google.com/url?ct=pro&source=kwh&cd=4&q=http%3A//desktop.google.co.kr/" title="쉽고 빠른 내 컴퓨터 검색"><span class="bgp-fr"></span><span>데스크톱</span></a></td><td><a id="prod5" href="http://www.google.com/url?ct=pro&source=kwh&cd=5&q=http%3A//picasa.google.co.kr/" title="편집과 공유가 쉬운 포토앨범"><span class="bgp-fr"></span><span>Picasa</span></a></td><td><a id="prod6" href="http://www.google.com/url?ct=pro&source=kwh&cd=6&q=http%3A//kr.youtube.com/" title="세계적인 동영상 커뮤니티"><span class="bgp-fr"></span><span>YouTube</span></a></td><td><a id="prod7" href="http://www.google.com/url?ct=pro&source=kwh&cd=7&q=http%3A//www.google.com/chrome/%3Fhl%3Dko" title="Google의 차세대 웹 브라우저"><span class="bgp-fr"></span><span>크롬</span></a></td></tr></table><div id="tt" class="tt" style="display:none"><div class="ttl"></div><div class="ttc"><div class="ttdc"><div class="ttdl"></div><div class="ttdr"></div></div><div class="tt-text"></div><div class="ttdc"><div class="ttdl"></div><div class="ttdr"></div></div></div><div class="ttl"></div><div class="ttvc"><div class="ttv"></div></div></div><div id="footer"><div id="footer_links"><a href="/intl/ko/ads/">광고 프로그램</a><span class="separator">|</span><a href="/intl/ko/jobs/">채용정보</a><span class="separator">|</span><a href="/intl/ko/about.html">Google 정보</a><span class="separator">|</span><a href="http://www.google.com/ncr">Google.com in English</a></div><div class="promo_line"><p id=shf0 style=display:none;behavior:url(#default#homePage)><font size=-1><a href="/aclk?sa=L&ai=Cc0OT78v-SbP4JZzIpgTssKDODMX4n3ynhe_KCtemv40qEAEgwVRQvpyhyfj_____AWCbA6oECU_QX5qDVqCsbQ&num=1&sig=AGiWqtzEco5AhzcVfHQBtLiq4SgIO9FsLQ&q=/mgyhp.html" onclick=xz()>Google을 내 시작페이지로 하세요</a></p><script>(function(){var a=document.getElementById("shf0"),b="http://www.google.co.kr/";try{a.isHomePage(b)||(a.style.display="block")}catch(z){}window.xz=function(){try{a.setHomePage(b);var c=new Image;c.src="/gen_204?mgmhp=shf0&ct=c&cd="+a.isHomePage(b);window.wy=c}catch(z){}}})();</script></div><div id="copyright">&copy;2009 - <a href="http://www.google.com/intl/ko/privacy.html">개인정보</a></div></div></div><script src="/ig/f/Dil1NMQGNOI/intl/ALL_kr/homepage.js"></script></body><script>if (!window.google) { window.google={}; }if (!window.google.kHL) { window.google.kHL='ko'; }window.setTimeout('window.google.ac.install(document.f,' +'document.f.q,' +'"",true,' +'"닫기",true,' +'"",' +'"")',100);</script></html>

나머지 2번째 메시지들과 3번째 메시지들은 브라우저가 처음 얻은 HTML파일을 읽어 들이는 과정에서 각각 CSS 파일과 JS(Java Script)파일을 웹서버로 부터 얻어내는 과정 입니다.
 
브라우저는 CSS파일과 JS파일을 얻은 후 최종적으로 사용자에게 페이지를 보여주는 것입니다.

실제 웹 프로그래밍에 보안을 신경 쓰지 않게 되면 개인 정보가 쉽게 노출될 가능성을 지니게 됩니다. 
특히 쿠키사용에 좀더 신경을 써야겠습니다.