Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 
개발자가 선택할 수 있는 윈도우에서의 네트워크 프로그래밍 기술

인터넷과 함께 네트워크 프로그래밍은 꽤나 매력적인 분야가 된지 오래인데요. 그야말로 요소기술도 아주 다양합니다. 개인적으로 윈도우에서 꼽을 수 있는 네트워크 기술 요소는 아래와 같다고 대답할 수 있겠군요. ^^

  • TDI / NDIS 드라이버
  • Winsock - Layered Service Provider
  • Winsock - Raw Socket
  • Proxy 서버
  • ... 기타

여러분이 어떤 식의 "제어 또는 보기"를 원하느냐에 따라서 선택해야 할 기술들이 달라지는데요. 오늘은 이 부분에 대해서 간략하게 설명해 보겠습니다.

기타 - BHO, APP, ...


만약, 모니터링 대상이 HTTP 의 웹 페이지 단위로 발생하는 요청이고, 그러한 요청들의 GET/POST 데이터에만 관심이 있다면? 또한 그런 조건 하에서 적용되는 범위가 "Internet Explorer"로 한정된다면 "BHO(Browser Helper Object)" 와 같은 COM 개체를 만들어서 구현하는 것이 좋습니다. 이에 대한 대표적인 사용예로는 "알패스" 와 같은 자동 로그인 프로그램들이 해당합니다.

그런데, BHO 에서는 한가지 제약이 있습니다. "웹 페이지" 단위로는 요청 패킷을 가로챌 수 있지만 페이지 내부에서 또 다시 요청되는 이미지나 Ajax 호출등은 모니터링이 안됩니다. 만약 이 부분을 해결하고 싶다면 http 용으로 등록된 "APP(Asynchronous pluggable protocols)" 을 변경하는 방법이 있습니다. 이에 대해서는 다음과 같은 토픽이 있습니다.

The most complete C# Webbrowser wrapper control
; http://www.codeproject.com/KB/miscctrl/csEXWB.aspx

현재는 위의 소스가 동작하지 않고 있으며 내부를 보면 http/https 에 대한 IInternetProtocol 인터페이스의 vtable 을 가로채는 것으로 보아 Microsoft 에서 제공되는 정규 방식은 아닙니다. 하지만, 어쨌든 이와 같은 방법도 있다는 것!

Proxy 서버

그런데, 만약 Internet Explorer 제한을 벗어나고 싶다면 어떻게 해야 할까요? 만약, 특정 응용 프로그램들의 소켓 연결에 대해 Proxy를 지정할 수 있는 경우라면 프록시 서버를 구현하는 것도 좋은 선택방법입니다. 예를 들어, 웹 브라우저에 상관없이 모든 웹 요청들을 중간에서 모니터링/변경하고 싶다면 프록시를 만들어서 해결할 수 있습니다.

프록시에 대해서는 더 설명이 필요없겠죠. ^^

Winsock - Layered Service Provider


LSP 는 Transport Provider와 Namespace Provider로 나뉩니다. Namespace Provider는 쉽게 얘기해 도메인 이름을 제어하는 것이 가능하다고 합니다. Transport Provider 는 다시 IFS 와 non-IFS 로 나뉘는데요. IFS LSP 는 소켓의 Overlapped 동작을 하는 부분은 제어를 못하는 반면 non-IFS 는 모든 제어를 할 수 있습니다. 상대적으로 IFS LSP 가 구현하기도 간단하고 영향력이 최소화될 수 있기 때문에 마이크로소프트는 요구 사항에 적합하다면 가능한 IFS LSP 로 만들 것을 권장하고 있습니다. 예를 들어, 특정 IP 로의 연결을 필터링한다거나 하는 것들은 IFS로 가능한 부분입니다.

이렇게 non-IFS 가 실제로 Winsock API 에 대한 모든 제어를 할 수 있는 기술인데요. 대단히 복잡합니다. 사실, 마이크로소프트가 만들어서 공개한 예제가 없었다면, 바닥부터 API들의 지식 조합을 통해 만든다는 것은 불가능하다고도 여겨질 정도입니다.

프록시와 비교해볼까요? 프록시의 경우에는, 프록시를 경유하도록 설정된 소켓만이 영향을 받게 되는 반면 (non-IFS) LSP DLL은 ws2_32.dll 에서 제공되는 API 와 하위 Base Provider 사이에 층을 이루기 때문에 소켓을 쓰는 모든 프로그램에 대한 모니터링 및 변경이 가능합니다.

이에 대한 좀더 자세한 설명은 다음의 글을 참고하세요.
Winsock 2 Layered Service Provider - Visual Studio 2010 용 프로젝트
; https://www.sysnet.pe.kr/2/0/969


Raw Socket


Raw Socket 으로는, "변경"을 하진 못하지만 "모니터링"이 가능합니다. SIO_RCVALL (닷넷에서는 IOControlCode.ReceiveAll) 이라는 옵션으로 설정을 해주면 이후 모든 Receive 호출에 대해 해당 네트워크 인터페이스로 들어온 IP 패킷을 받을 수 있습니다.

이것은 IP 수준에서 받는 것이기 때문에 TCP Control Flow 까지 모두 포함하게 됩니다. 이 때문에 버려지는 패킷에 해당되거나 재전송된 패킷 등이 발생해서 같은 데이터를 가진 패킷이 2번 나올 수도 있습니다. 심지어, 보낸 패킷보다 받은 패킷이 먼저 모니터링 되는 경우도 있습니다.

소켓을 연결하는 3-way handshaking 단계의 모니터링은 가능하지만, 소켓을 연결한 체로 프로세스가 종료되어 사라지는 소켓의 경우에는 모니터링이 되지 않습니다. 때로는 Receive 가 늦게 호출되면 패킷이 유실되기도 합니다.

이런 저런 이유로 인해 이 단계에서부터는 하나의 소켓 연결에서 발생하는 온전한 한 쌍의 요청/반환을 조립하는 것이 쉽지 않아서 HTTP 요청/반환 데이터를 모니터링한다는 식의 목적으로 활용하기에는 적절하지 않습니다. 즉, 패킷 모니터링이나 부하 감지 등의 목적으로나 쓰일 수 있을 것입니다.

참고로, Layer 3 IP 레벨에서의 모니터링이기 때문에 Ethernet Frame 헤더와 같이 Layer 2 단계의 전송 헤더들은 제거된 상태이고 IP 레벨에 속하지 않는 ARP / NETBIOS 패킷 등은 잡히질 않습니다.

TDI / NDIS 드라이버

이전 까지는 SDK 영역이었다면, 이제부터는 DDK 영역입니다. 그만큼 기술이 어려워진다는 것을 의미합니다. 일단 TDI 계층의 드라이버는 TDI 필터를 만든다고 하지만 개인적으로 접해본 적이 없어서 통과! ^^

NDIS 는 NIC과 직접적으로 통신하는 미니포트 드라이버, 프로토콜을 구현한 프로토콜 드라이버, 미니포트와 프로토콜 사이에 놓이는 Intermediate 드라이버가 있습니다. 미니터포트 드라이버는 하드웨어 제작 업체와 맞물리므로 논외이고, 여기서는 프로토콜 드라이버와 Intermediate 드라이버가 관심 대상이 되겠습니다.

우선, 프로토콜 드라이버는 기존의 TCP/IP, IPX 등이 이미 설치되어 있고 별도의 사용자 정의 프로토콜 드라이버를 설치하면 Miniport Driver로부터 전송되는 (TCP/IP, IPX 등을 포함한)모든 패킷을 "받는 것"이 가능합니다. 따라서 별도의 "프로토콜"을 만드는 의미에서가 아니라 "모니터링"을 하는 의미에서 드라이버를 만들기도 합니다. 물론, SDK 개발자가 이에 대해 만드는 것은 다소 어렵기 때문에 공개된 프로토콜 드라이버를 사용하는 것이 좋은데, 바로 "WinPcap" 이 그러한 상황에 대한 해결책으로 적절한 선택이 될 수 있습니다.

만약, "모니터링"이 아니라 패킷에 대한 "변경"을 하고 싶다면 특정 프로토콜 드라이버와 Miniport 드라이버 사이에 위치한 "Intermediate" 드라이버를 만들어야 합니다. 개념 자체는 Winsock 과 Base Provier 사이에 위치한 LSP 와 비슷하다고 보면 되겠습니다.

그럼, 이것과 Raw Socket을 이용한 모니터링 차이는 뭘까요?

주요한 차이점은 DDK 단계에서는 Frame 헤더까지 모두 얻을 수 있습니다. 또한, 해당 컴퓨터의 IP 로 지정되어 들어온 패킷과 무관하게 일단 Network 카드에 신호가 잡힌 모든 패킷들을 모니터링하는 것이 가능합니다.




주마간산 격으로 알아보긴 했지만, 대강 자신이 원하는 부분에 따라 적절한 기술 선택에 도움이 될 수 있을 것입니다. 자~~~ 이제 공부만 하시면 되겠군요. ^^



[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]


donaricano-btn



[최초 등록일: ]
[최종 수정일: 12/31/2010 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 쓴 사람
 



2021-05-11 09시00분
eBPF가 Windows 10과 서버로는 2016 이상에 도입된다고 하는군요. ^^

Making eBPF work on Windows
; https://cloudblogs.microsoft.com/opensource/2021/05/10/making-ebpf-work-on-windows
정성태

[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12686정성태6/21/202125Java: 22. Azure - 자바(Java)로 만드는 Web App Service
12685정성태6/21/202129Java: 21. Azure Web App Service에 배포된 Java 프로세스의 메모리 및 힙(Heap) 덤프 뜨는 방법
12684정성태6/19/202131오류 유형: 728. Visual Studio 2022부터 DTE.get_Properties 속성 접근 시 System.MissingMethodException 예외 발생
12683정성태6/18/202160VS.NET IDE: 166. Visual Studio 2022 - Windows Forms 프로젝트의 x86 DLL 컨트롤이 Designer에서 오류가 발생하는 문제파일 다운로드1
12682정성태6/18/202168VS.NET IDE: 165. Visual Studio 2022를 위한 Extension 마이그레이션
12681정성태6/18/202151오류 유형: 727. .NET 2.0 ~ 3.5 + x64 환경에서 System.EnterpriseServices 참조 시 CS8012 경고
12680정성태6/18/202140오류 유형: 726. python2.7.exe 실행 시 0xc000007b 오류
12679정성태6/18/202187COM 개체 관련: 23. CoInitializeSecurity의 전역 설정을 재정의하는 CoSetProxyBlanket 함수 사용법파일 다운로드1
12678정성태6/17/202171.NET Framework: 1072. C# - CoCreateInstance 관련 Inteop 오류 정리파일 다운로드1
12677정성태6/17/202172VC++: 144. 역공학을 통한 lxssmanager.dll의 ILxssSession 사용법 분석파일 다운로드1
12676정성태6/16/202184VC++: 143. ionescu007/lxss github repo에 공개된 lxssmanager.dll의 CLSID_LxssUserSession/IID_ILxssSession 사용법파일 다운로드1
12675정성태6/16/202144Java: 20. maven package 명령어 결과물로 (war가 아닌) jar 생성 방법
12674정성태6/15/202189VC++: 142. DEFINE_GUID 사용법
12673정성태6/15/202148Java: 19. IntelliJ - 자바(Java)로 만드는 Web App을 Tomcat에서 실행하는 방법
12672정성태6/15/202138오류 유형: 725. IntelliJ에서 Java webapp 실행 시 "Address localhost:1099 is already in use" 오류
12671정성태6/15/202147오류 유형: 724. Tomcat 실행 시 Failed to initialize connector [Connector[HTTP/1.1-8080]] 오류
12670정성태6/13/202169.NET Framework: 1071. DLL Surrogate를 이용한 Out-of-process COM 개체에서의 CoInitializeSecurity 문제파일 다운로드1
12669정성태6/11/2021145.NET Framework: 1070. 사용자 정의 GetHashCode 메서드 구현은 C# 9.0의 record 또는 리팩터링에 맡기세요.
12668정성태6/11/2021159.NET Framework: 1069. C# - DLL Surrogate를 이용한 Out-of-process COM 개체 제작파일 다운로드2
12667정성태6/10/202197.NET Framework: 1068. COM+ 서버 응용 프로그램을 이용해 CoInitializeSecurity 제약 해결파일 다운로드1
12666정성태6/10/202174.NET Framework: 1067. 별도 DLL에 포함된 타입을 STAThread Main 메서드에서 사용하는 경우 CoInitializeSecurity 자동 호출파일 다운로드1
12665정성태6/9/2021142.NET Framework: 1066. Wslhub.Sdk 사용으로 알아보는 CoInitializeSecurity 사용 제약파일 다운로드1
12664정성태6/9/202198오류 유형: 723. COM+ PIA 참조 시 "This operation failed because the QueryInterface call on the COM component" 오류
12663정성태6/9/2021122.NET Framework: 1065. Windows Forms - 속성 창의 디자인 설정 지원: 문자열 목록 내에서 항목을 선택하는 TypeConverter 제작파일 다운로드1
12662정성태6/8/2021136.NET Framework: 1064. C# COM 개체를 PIA(Primary Interop Assembly)로써 "Embed Interop Types" 참조하는 방법파일 다운로드1
[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...