김근혜
피지피넷 스니퍼 분석 기술지원부 차장
kgsun@pgpnet.com

이번 호에서는 패킷을 실제로 캡쳐하면서 엑스퍼트(Expert) 기능을 통해 어떠한 항목들을 분석할 수 있는지 그리고 각각 OSI 7계층에 대한 패킷 분석을 위해 알아야 할 내용들이 무엇인지 살펴본다. <편집자>

지난 호까지 설명됐던 패킷 디코딩과 엑스퍼트(Expert) 기능은 패킷 분석을 심도 있게 하고자 하는 사용자들이 필수적으로 알아야 될 기능이다. 기본적으로 TCP/IP에 대한 정보와 함께 이번 호에서는 이 TCP/IP 분석을 체계적으로 쉽게 할 수 있도록 스니퍼 엑스퍼트 시스템과 연동해 분석하는 방법을 중심으로 살펴보자.

서브넷 계층 분석
서브넷 계층(Subnet Layer)은 특별히 패킷을 분석해 문제점을 찾기보다는 캡쳐된 패킷들을 분석해 전체적인 서브넷간의 전송 상태에 대한 분석을 제공한다. 즉 캡쳐된 패킷에 대해 각 서브넷간의 트래픽 정보를 보고 싶다면 서브넷 계층을 이용하도록 하자.
또한 스니퍼에서는 기본적으로 A,B,C 클래스에 대한 분석을 제공, 더 세밀하게 구분되는 네트워크 세그먼트에 대한 분석이 필요할 때에는 추가로 입력해야 한다. TCP/IP 서브넷 마스크는 전통적으로 IP 주소의 부류에 따른 서브넷 마스크가 되도록 IP 네트워크 주소 내에서 특정 비트들로 예약돼 있다. 어떤 네트워크들은 비전통적인 서브넷 마스크를 사용할 수도 있다.
만일 엑스퍼트가 비전통적인 서브넷 마스크를 사용하는 네트워크 세그먼트에 접속돼 있다면 엑스퍼트는 가짜 네트워크 대상들과 분석 내용들을 등록할 수도 있다. 이러한 상황은 엑스퍼트가 실질적인 서브넷 마스크 주소라기보다는 주소 필드 내의 한 곳에 있는 주소 정보라고 예상하기 때문이다. 만일 네트워크에서 비전통적인 서브넷 마스크를 사용한다면 엑스퍼트가 프레임을 관찰하는 네트워크를 위한 IP 네트워크 주소와 적절한 서브넷 마스크를 추가해야 한다.

라우트 계층 분석
라우트 계층(Route Layer)은 RIP 패킷의 경로 설정과 관련된 문제점을 분석한다. 앞서 언급했듯 엑스퍼트 UI 오브젝트 창에 있는 RIP 탭에서 정상적으로 라우터에 대한 정보를 입력하면 경로 설정과 관련된 문제점을 이 계층에서 찾을 수 있다. 현재 모든 네트워크 라우팅 프로토콜을 RIP를 거의 쓰지 않는 관계로 잘 사용되지 않는 계층이다.

글로벌 계층 분석
글로벌 계층(Global Layer)은 캡쳐한 데이터에 대한 통합된 내용을 한눈에 볼 수 있는 계층이다. 전체적인 네트워크 트래픽에 대한 상태를 제공한다.
몇 가지 중점으로 봐야 할 Diagnosis와 Symptoms에 대해 설명하도록 하겠다.

▶ 브로드캐스트/멀티캐스트 스톰(Broadcast/Multicast Strom)
·중요도 : Minor
·현상 : 이 메시지는 브로드캐스트나 멀티캐스트 패킷이 임계값인 초당 40개 이상 전송됐을 경우 ‘Symptoms’ 영역에 표시된다.

▶ 브로드캐스트/멀티캐스트 스톰 Diag.
·중요도 : Critical/Diag.
·현상 : 이 메시지는 브로드캐스트나 멀티캐스트 패킷이 임계값인 초당 120개 이상 전송됐을 경우 ‘Diagnosis’ 영역에 표시된다. 만약 이 메시지가 생성됐다면 브로드캐스트/멀티캐스트 스톰 증상이 이미 몇 번 발생했음을 알려준다.

▶ 랜 과부하 비율
·중요도 : Critical/Diag.
·현상 : 이 메시지는 1분간 랜의 과부하 상태(50% 이상의 대역을 사용함)가 20%를 초과할 경우 생성된다.
·원인 : 여러 개의 큰 파일전송이 동시에 발생되는 경우, 많은 사용자들이 네트워크를 이용해 많은 양의 작업을 동시에 수행하는 경우, 한 스테이션이 어떤 작업을 반복해서 하고 있는 경우, 라우터가 최근 재부팅됐을 경우, 리피터/브릿지/라우터가 로깅되고 있는 경우 등이다.