선생님 질문있어요

네, 필요하다면 조립 과정을 거쳐야 합니다. 그리고 그 '디캡슐레이션'이라는 것이 생각보다 단순한 과정입니다. Ethernet frame에서 Packet payload를 단순 포인팅하는 것이라 손쉬운 단순 계산으로도 접근이 가능합니다. 그리고 조립을 한다 해도 굳이 TCP 세션 스트림을 모두 할 필요 없이 원하는 만큼만 하고 탐지해도 무방합니다.

그리고 IPS나 NIDS가 탐지하는 방식은 소위 Rule에 의한 것인데 단순 패턴 매칭, 정규식 기반 매칭, 발생량 기반 탐지 등 크게 세 가지 방식을 이용합니다. 더 자세한 내용에 대해서는 Snort rule에 대해서 알아보기 바랍니다.

그리고 라우터같은 Inline 장치가 패킷을 Drop하는 원리는 언급한 것처럼 헤더만 일부 참조하고 작동하는 것이 맞습니다.

마지막으로 L2~4까지 헤더는 Frame(L2) 데이터 에서 쉽게 모두 추출이 가능합니다. 다만 소켓 스트림 수준으로 올라가면 이야기가 달라질 수 있습니다. 검사하고 싶은 데이터가 패킷 하나의 크기를 넘어간다면 여러 패킷이 필요할 것이고 경우에 따라서 압축파일 전체를 추출하려면 더 복잡한 과정을 거칠 수 밖에 없습니다. 이 때문에 Proxy 구조가 필요한 것입니다.

참고하시기 바랍니다.