매트릭스 트래픽 맵 최대한 활용 … 실시간 모니터링 파악 가능
김근혜
피지피넷 스니퍼 분석 기술지원부 차장
kgsun@pgpnet.com
현재 가장 널리 사용되고 있는 네트워크 분석 툴인 스니퍼를 이용해 네트워크 환경을 보다 정확하고 체계적으로 분석할 수 있는 스니퍼 활용 가이드를 소개한다. 이번호에서는 지난호에 이어 스니퍼의 모니터링 기능 중에 나머지 기능들에 대한 분석 방법론에 대해 알아본다. <편집자>
매트릭스(Matrix) 기능은 실시간으로 네트워크 노드들간의 트래픽 분석 정보를 제공한다. 두 노드간의 전반적인 트래픽 관찰을 통해 어떤 프로토콜을 사용하고 있는지 또는 데이터 양은 얼마인지에 대한 현황을 모니터링할 수 있으며, 유해 패턴을 유발하고 있는 노드에 대한 가장 간편한 분석 용도로 가장 널리 사용되고 있는 기능이다.
먼저 매트릭스 트래픽 맵 기능을 살펴보자. 이 기능은 유해 트래픽을 유발하는 노드를 찾을 때 가장 많이 사용되고 있는 모니터링 기능으로, <그림 1>과 <그림 2>에 그 상세한 기능이 표시돼있다. 현재 세션을 맺고 있는 노드들에 대한 상황을 파악하고 노드간의 트래픽을 분석하기 위한 용도로 사용하면 된다.
네트워크 노드간의 트래픽 분석 정보 제공하는 매트릭스
트래픽 맵은 두 호스트 간의 연결 상태를 원형 맵 형식으로 관찰하기 위한 창으로 <그림 1>의 1번 항목처럼 한 노드를 선택하고 마우스 오른쪽 버튼을 클릭하면 해당 노드에 대해서 활용할 수 있는 다양한 부 메뉴가 나타나며, 특정 노드에 대한 세부 관찰이 가능하다.
<그림 2>는 유해 트래픽을 유발하고 있는 노드 탐색과 특정 서버나 유저의 세션 정보를 실시간으로 모니터링할 때 사용하며, 소스나 데스티네이션(Destination) IP가 1인 반면에 상태측은 N개의 형태로 그려 질 경우에는 우선 그 IP를 확인해 물리적인 처리 후 세부 분석을 해야 할 것이다.
이런 형태의 모든 증상이 특정 유해 트래픽이라고 볼 수는 없지만 유사한 유형 중에 하나이므로 이런 형태의 패킷 유발은 네트워크 성능에 영향을 미칠 수 있기 때문에 심도 있는 분석이 필요할 것으로 보여진다.
호스트간의 데이터 송수신 상태, 프로토콜 사용 현황, 대역폭 점유율, 특정 서버의 트래픽 상태를 실시간으로 관찰하려면 <그림 3>에 제시된 매트릭스의 각 기능들을 이용하자.
호스트 테이블이나 매트릭스 테이블을 보다 편리하게 관찰하려면 스니퍼의 툴 메뉴에 있는 주소록(Address Book)을 활용하자.
주소록에 각 호스트의 이름, MAC 주소 및 IP 주소 등을 등록해 놓으면, 호스트 테이블 내에 있는 MAC, IP 계층에서 각 호스트의 주소들이 주소록에 등록된 호스트 이름이나 IP 주소로 보일 것이다. 또한 주소록은 나중에 파일로 저장해 보관이 가능, 필요하다면 많은 주소들을 등록해 놓자.
① 아웃라인 테이블은 MAC, IP, IPX 별 두 호스트간의 트래픽 발생 상태를 표시해 주며, 이것도 호스트 테이블과 마찬가지로 항상 정렬한 후 관찰에 들어가도록 하자.
② 디테일 테이블은 MAC, IP, IPX 프로토콜별로 두 호스트간의 트래픽을 표시해주며 실제 사용률이 많은 두 노드가 어떤 프로토콜을 사용 중인지 쉽게 확인이 가능하다.
③ 바/파이 차트는 트래픽을 가장 많이 발생시키는 호스트 쌍(Pair-Node)을 최대 20개 까지를 표시해 준다.
④ 캡쳐 기능은 특정 호스트 쌍을 클릭하면 활성화되며, 심층 분석이 필요한 두 노드간의 트래픽만을 별도의 필터를 적용하지 않고 바로 캡쳐할 수 있도록 가능하게 한다.
⑤ 디파인 필터는 특정 호스트 쌍에 대한 트래픽만을 모니터링 하기 위해 직접 필터를 정의하기 위해 사용한다.
⑥ 엑스포트는 현재 매트릭스 테이블에 올라와 있는 값을 csv,txt 파일로 변환해 저장할 때 사용한다.
매트릭스 기능의 활용방안은 다음과 같다.
① 두 스테이션 사이의 전반적인 트래픽을 관찰할 때 사용한다.
② 두 스테이션 사이에 어떤 프로토콜을 이용하고 있는가를 확인한다.
③ 어느 정도의 트래픽을 발생시키고 있는가를 확인한다.
④ 경향 분석을 위해 히스토리 데이터 수집 및 파일 변환을 시도하여 파악한다.
프로토콜 사용현황 실시간 제공하는 프로토콜 디스트리뷰션
다음은 측정하고 있는 세그먼트의 프로토콜 사용현황에 대한 분석을 제공하는 프로토콜 디스트리뷰션(Protocol Distri bution) 기능을 살펴본다. 이 기능은 실제 네트워크의 대역폭을 어떤 프로토콜들이 점유하고 있는지, 비업무용/업무용 애플리케이션들의 사용현황이 어떤지, 유해 트래픽을 유발할 수 있는 용도로 사용되는 포트 사용현황은 어떤지에 대한 분석을 손쉽게 한눈에 파악하기 위한 용도로 사용할 수 있다.
네트워크 관리자가 이를 쉽게 분석하기 위해서는 미리 사용되는 포트들을 등록해야 한다. 스니퍼에는 웰 노운 포트(Well-Known Port)에 대해서만 등록돼 있을 뿐 나머지 포트들에 대한 포트들은 등록돼 있지 않다. 따라서 이 상태로 분석에 들어간다면 다른 포트로만 분석될 뿐이다. 이 부분은 스니퍼를 사용해 측정하는 관리자들이 가장 간과하기 쉬운 부분으로 맨 처음 스니퍼를 인스톨해서 사용하는 사용자라면 반드시 이 부분 셋업은 아래 설명한 대로 수정한 후 측정에 들어가야 할 것이다.
스니퍼 포트를 등록하는 부분은 <그림 4> Tool→Option→Protocol으로 이동해 각각 TCP/UDP에 등록하면 된다.
