PowerPoint 프레젠테이션

004 프로토콜분석기활용법 강남망건설국기술지원과

Index. 개요. 프로토콜분석기연결위치. 기본적인화면구성 4. 주요기능사용하기 5. 네트워크분석하기 6. 프로토콜분석기튜닝하기 7. 사례분석 8. 알아두면편리한명령

. 개요 인터넷기술의발달로네트워크가커지고, 장비기능의고도화 KT 전용회선 A/S 요원의데이터마인드필요및기술력향상고객의프로토콜분석기를이용한네트워크점검및분석요구전용회선및게임방실무에적용하여사용할수있는기술습득프로토콜분석기 [Sniffer] 를이용한구체적고장수리방법제시프로토콜분석기 [Sniffer] 의튜닝방법을구체적으로소개

4. 프로토콜분석기연결위치 구성방법의중요성 : 측정기의성능이아무리좋아도, 측정방법이잘못되면정확한분석이불가능하다. 이장에서는라우터환경에서의연결방법및 M/E 에서의연결방법을설명하기로한다 라우터환경에서의연결 - 더미허브 () 의경우 더미허브를구별하는방법 장비전면에친절하게 Hub 라고써있다 [ 몇가지예외의제품이있다. Dual Speed Hub 등 ] 랜카드가 0Mbps 로동작을하며, Half-Duplex 로동작을한다.[ Collision 발생 ] 분석기를연결할경우같은네트워크의 IP 가모두감지가된다. 더미허브에서의연결방법 일반컴퓨터연결하는방법으로연결하면된다. [ 스트레이트케이블을이용하여노트북에연결한다 ] 한아 / 시스코라우터더미허브컴퓨터 스니퍼가설치된노트북 () 더미허브 : 버스케이블이하나인장비로여러컴퓨터를네트워크에연결하는기능을하며, 신호증폭기능등과같이기본적인역할만수행한다.

5. 프로토콜분석기연결위치 라우터환경에서의연결 - 스위치장비 () 의경우 스위치장비를구별하는방법 장비전면에친절하게 Switch 라는단어가적혀있다. 랜카드가 00Mbps 로동작을하며, Full-Duplex 로동작을한다. [ 장비전면동작상태 LED 가있다 ] 분석기를연결할경우 IP 가보이지않으며, 브로드케스트만보인다. [ 각포트가독립적으로동작한다 ] 스위치장비에서의연결방법 스위치장비는각포트가독립적으로동작하기때문에더미허브같이연결하면자기자신만보이게된다. 라우터에서스위치장비로가는케이블을빼서더미허브로연결한다. [ 이때인터넷이잠시끊김 ] 더미허브에서스위치장비로크로스케이블을이용하여연결한다. [ 이때인터넷이연결됨 ] 더미허브에서스트레이트케이블을이용하여스니퍼가설치된노트북에연결한다. 잘못된연결방법 올바른연결방법 한아 / 시스코라우터 스위치장비 컴퓨터 한아 / 시스코라우터 스위치장비 컴퓨터 크로스케이블 스니퍼가설치된노트북 더미허브 스니퍼가설치된노트북 () 스위치장비 : 버스케이블이 Fabic 으로구성되어있고, LAN 세그먼트사이의패킷을지능적 ( 필터링기반 ) 으로포워딩하는장비를말한다.

6. 프로토콜분석기연결위치 메트로이더넷환경에서의연결 V008F 의특징 메니지먼트가가능한 Layer 스위치장비로, 미러링 () 기능이탑재되어, 더미허브없이도측정이가능 V008F[V608] 에서의측정방법 특정포트로출입하는트래픽을모두복사하여, 모니터포트로보내는기능을이용하여측정 V008F 에서의명령어 Switch# conf t Switch(config)# br Switch(bridge)# set mirror add -5 [ 모니터를할포트 ] Switch(bridge)# set mirror monitor 6 [ 스니퍼가설치된노트북연결포트 ] Switch(bridge)# set mirror enable [ 이때부터미러링이시작됨 ] Switch(bridge)# set mirror disable [ CPU가부하를받으므로측정후반드시 Disable 해야함 ] 스위치장비에서의연결방법 set mirror monitor # 에서지정한포트 [-6] 에스니퍼가설치된노트북을연결 V008F [RT] Monitor Port V54F [COT] 고객스위치 고객스위치 고객스위치 스니퍼가설치된노트북 () 미러링 [Mirroring] : 시스코장비에서는 span 이란명령으로사용되며, 데이터를특정모니터포트로복사하여측정이가능하도록한다

7. 기본적인화면구성 스니퍼 (Sniffer) 소개 네트워크에서모니터링및수집된데이터를이용하여, 네트워크의증상및문제점을분석할수있는프로그램 네트워크의실시간모니터및통계제공 Graphical User Interface (GUI) 환경의네트워크측정기 개별호스트의통신량및상호간 (Local-Remote) 의통신하는호스트들의통계제공 시각적이면서실시간으로알람을생성 [Matrix 등 ] 자세한패킷분석을위하여네트워크트래픽을캡쳐 네트워크의데이터를장시간 [7~0일] 저장하여분석하는기능제공 강력한리포팅기능으로실시간보고서출력가능 스니퍼 (Sniffer) 의주요기능 Monitor Capture Expert Display 실시간네트워크트래픽데이터를계산하고화면에표시네트워크트래픽을캡쳐하고데이터를나중에분석하기위해버퍼에저장네트워크의문제점을증상 (Symptom) 과분석내용 (Diagnoses) 로분류캡쳐버퍼에있는패킷들을디코드하고분석

8. 기본적인화면구성 스니퍼 (Sniffer) 의주요기능 - 스니퍼 (Sniffer) 의주요메뉴구성

9. 기본적인화면구성 Monitor 네트워크모니터하기 - 데쉬보드 (Dashboard) 에서의관찰포인트 실시간모니터시각항목의기능을이해하고주요관찰포인트를제시하여고장개소를찾을수있도록한다 네트워크사용율 (Utilization%), 패킷율 (Packets/s), 에러율 (Errors/s) 실시간표시 4 5 데쉬보드아이콘 : 스니퍼를시작할때가장먼저보임만일닫혀있다면이버튼을클릭 네트워크사용율 (Utilization%) 코넷 L/L 및 M/E 의제한대역폭을넘는지를점검 Nimda 등바이러스에의한공격성트래픽추적 현재인터페이스의사용율을표시 개의숫자의미 : 현재사용율 - 최대사용율 [ 예 ] 4-0 : 현재 4%(4Mbps), 최대 0%(0Mbps] [ 주의 -] % 는현재노트북랜카드의링크속도가기준 [ 주의 -] 5 를항상기준으로사용율을결정 [ 주의 -] 트래픽이많을경우파일공유를일단확인 패킷율 (Packets/s) 초당 000 Packets 이상초과분을점검 개의숫자의미 : 현재패킷율 - 최대패킷율 [ 예 ] 사용율이높고패킷율이낮으면큰사이즈데이터사율율이높고패킷율도높으면작은사이즈데이터 4 에러율 (Errors/s) 허브로연결된네트워크의 Collisions 등의에러 5 00Mbps : 스니퍼설치 PC 의링크속도를나타내며, 네트워크사용율 (Utilization%) 의기준이된다

0. 기본적인화면구성 Monitor 네트워크모니터하기 - 호스트테이블 (Host Table) 에서의관찰포인트 네트워크에있는모든호스트 (PC) 의리스트를보여주며, 송 / 수신트래픽에대한통계치실시간제공 네트워크에있는모든호스트 (PC) 의 MAC Address 및 IP Address 를제공 4 5 Stations : 네트워크에존재하는모든호스트 (PC) 수 MAC/IP/IPX : 랜카드주소 /IP 주소 /IPX 주소표시 선택적으로 Layer //4 계층의정보확인 주로 IP 로선택하여야쉽게 PC 를가려낼수있슴 MAC 계층에선에러에대한내용을확인할수있슴 In Pkts Out Pkts In Bytes Out Bytes.. 각항목을클릭하면데이터정렬 (Sorting) 이된다 Tx/Rx 를정렬하여어느 PC 가가장많이쓰는가확인 항상정렬하는습관을가지는것이좋다. 4 호스트테이블툴바 PC및전송량표시각프로토콜별사용량막대그래프로표시원그래프로표시단일호스트캡쳐단일호스트필터정의 실시간업데이트잠시멈춤즉시업데이트데이터를지우고다시측정 현재화면 CSV 파일로저장호스트테이블옵션조정 선택한호스트통신상태측정리포터출력 [ 별도설치 ]

. 기본적인화면구성 Monitor 네트워크모니터하기 - 메트릭스 (Matrix) 에서의관찰포인트 네트워크에있는모든호스트의양방향통신 [ 출발지 - 도착지 ] 에대한트래픽통계자료제공 트래픽맵 (Traffic Map) 을제공하여, 트래픽패턴에대한개괄적인관찰을실시간으로제공 00 Ethernet Frames : 양방향통신연결수 짧은시간에빠른속도로증가하면통신량많은것 MAP 화면의패턴을주의깊게관찰 IP 계층에서 :N 의패턴을집중적으로관찰 Blaster.worm 등의패턴이보통 :00 개의패턴 Source IP 하나에 Destination IP 가무수히많은것 필요하다면해당 IP 를선택하여캡쳐하여저장 한 IP(PC) 만을보기위한방법 IP 선택후마우스의오른쪽버튼을누른후 Show Select Nodes 를선택한다 4 호스트테이블툴바 4 Matrix MAP 보기 실시간업데이트잠시멈춤 개요보기 Outline 즉시업데이트 상세테이블보기 데이터를지우고다시측정 막대그래프로표시원그래프로표시단일호스트캡쳐단일호스트필터정의 현재화면 CSV 파일로저장메트릭스옵션조정리포터출력 [ 별도설치 ]

. 기본적인화면구성 Monitor 네트워크모니터하기 -4 ART 에서의관찰포인트 응답시간측정및분석도구로, 스니퍼 4.0 이후버전에추가 [ART(Application Response Time)] 응답시간은요청이보내어지고그에대한응답이이루어질때측정된시간 어플리케이션응답과정. 네트워크에 Request 패킷전달 5. 네트워크에서 Reply 패킷수신 6. Reply 패킷처리 7. 새로운 Request 패킷을네트워크에전달 컴퓨터응답시간 네트워크지연 서버의응답시간 컴퓨터의응답시간 네트워크지연 서버응답시간. 네트워크에서 Request 패킷수신. 서버에서 Request 처리 4.Reply 패킷을네트워크에전달 인터넷전송속도및접속속도가늦어지는이유 a 네트워크지연시간 (Network Delay) 프레임지연시간 (Latency): 홉수, 메모리, 거리관련 회선의대역폭 (Bandwidth):FTP, PP 프로그램관련 b 서버응답시간 (Delta Time) 첫번째요청 (Request) 패킷이네트워크에전달된후, 서버에서응답 (Reply) 패킷이수신될때까지의시간으로그림의 에서 5 까지소모된시간 c 컴퓨터 (Client) 응답시간 서버의응답패킷이나첫번째데이터패킷을수신한후, 다른요청패킷이나 ACK 패킷을보낼때까지의시간이며그림의 5 에서 7 까지소모된시간 Application 응답시간에대한실시간통계자료제공 ART 는컴퓨터 (Client) 의 TCP/UDP 요청패킷이관찰된후서버의 TCP/UDP-ACK 패킷이관찰될때까지의시간 4 그림의어플리케이션응답과정을숙지하여야한다 5 그외에서버의트래픽과 CPU/ 메모리상태, 서버의디스크입출력속도, 네트워크어답터사이의 Duplex 상태가응답시간에영향을미친다

. 기본적인화면구성 Monitor 네트워크모니터하기 -4 ART 에서의관찰포인트 ( 계속 ) 4 서버와통신하는컴퓨터 (Client) 들의응답속도 업데이트간격및 Display 수는 Properties 조정 막대차트에서의주요체크사항 최소나최대응답시간보다는평균응답시간체크 최소 / 평균응답시간작고최대응답시간이클경우 Request/Reply 패킷이전송중에사라졌을경우 서버에데이터를요청하는컴퓨터가많을경우 평균응답시간이매우늦을때체크사항 해당서버의처리능력이떨어질경우 네트워크의지연 (Latency) 가심할경우 이런경우는최소 / 평균 / 최대응답시간이비슷함 Time Window Table 로서버가응답한횟수를표시 단위는 msec 로 0~5,6~50,5~00 등 7 개항목 0~5 구간에개수가 0 이라면, 전체응답패킷가운데 0 개의패킷들이 5ms 이내수신이된것임 뒷부분의 Retries 와 Timeouts 의의미 Retries : TCP Sequence 번호가동일한것 Timeouts : 지정된시간 (5000ms) 후에도무응답 4 호스트테이블툴바 테이블보기 Server-Client Response Time Server Response Time

4. 기본적인화면구성 Monitor 네트워크모니터하기 -5 히스토리 (History) 에서의관찰포인트 네트워크성능에대한기초자료를작성하기위하여장시간동안통계자료를수집 최대 600 회의샘플링 [Interval 5 초이면, 5 초샘플링으로 600 샘플을갖는다 ] 4 각항목이독립적으로운영 Packets/s, Utilization(%) 등 0 개의항목 모니터하고자하는항목을선택 Add Multiple History 아이콘선택시윈도우 샘플링간격을조정할수있다. 정밀측정시 초 Selection 부분은원하고자하는항목이여러개일경우동시에 0 개의히스토리선택가능 Selection 에서지정할수있는항목 히스토리에서제공하는 0 개의항목을선택 최소 에서최대 0 개까지선택가능 4 호스트테이블툴바 Sample 시작 윈도우내의아이콘유형변경 Large Icons 윈도우내의아이콘유형변경 Small Icons 윈도우내의아이콘유형변경 List 윈도우내의아이콘유형변경 Details Add Multiple History 히스토리옵션조정

5. 기본적인화면구성 Monitor 네트워크모니터하기 -5 히스토리 (History) 에서의관찰포인트 ( 계속 ) 샘플링간격에따른모니터추천기간 샘플링간격 second 0 second 0 second 0 second minute minutes 0 minutes 0 minutes hour 추천하는기간 0 분 ~ 시간 0 분 ~ 8 시간 시간 ~ 6 시간 시간 ~ 4 시간 4 시간 ~ 일 시간 ~ 6 일 일 ~ 0 일 5 일 ~ 개월 7 일 ~ 4 개월 최대샘플링기간 시간 0 시간 0 시간 0 시간 일 시간 7일 시간 5 일 개월 5 일 5 개월 [,600 회 / Max]

6. 기본적인화면구성 Monitor 네트워크모니터하기 -6 프로토콜분포도에서의관찰포인트 OSI 7 Layer 의 Network, Transport, Session, Application 계층프로토콜사용현황제공 IP Application [FTP,Telnet,SMTP,POP,HTTP 등 ] 및 IPX Application [NCP,SAP,NetBios,SNMP 등 ] 모니터 해당계층의프로토콜분포 MAC/IP/IPX 별선택시해당 Application 표시 특히 IP 에서사용되는 Application 중심관찰 각프로토콜별 Packets/Bytes 양을표시 사용량이급격히증가하는 Application 찾기 막대 / 파이차트에서는 Packets 을표시 테이블형식에서는 Packets/Bytes 모두표시 프로토콜분포도테이블툴바 막대그래프로표시 [Packets] 원그래프로표시 [Packets] 테이블형식으로표시 [Bytes / Packets] 막대 / 원그래프선택시 Packets 형식으로보임막대 / 원그래프선택시 Bytes 형식으로보임실시간업데이트잠시멈춤즉시업데이트데이터를지우고다시측정 현제화면 CSV 파일로저장 [ 테이블형식에서만지원 ] 리포터출력 [ 별도설치 ]

7 4. 주요기능사용하기 Capture 4 네트워크패킷캡쳐하기 4- Capture 의기능및아이콘설명 캡쳐기능사용시실시간및저장파일에대한주요관찰포인트를제시하여고장개소를찾을수있도록한다 네트워크에서실시간으로통신하고있는패킷들을캡쳐버퍼에수집하고저장하여분석하는기능 캡쳐하는동안 Expert 는패킷들을계층별로분석하고그결과를실시간으로표시 (Display) 캡쳐의툴바 [Start] 캡쳐시작 [Expert 화면자동생성 ] [Pause] 캡쳐잠시멈춤 [Stop] 캡쳐중지 [Stop and Display] 캡쳐중지와화면표시 [Display] 중지된캡쳐화면표시 [Define Filter] 캡쳐필터정의캡쳐필터선택자동으로네트워크의증상 / 분석표시스니퍼가관찰한트래픽으로부터네트워크대상들의데이터베이스를구성한다 [ 증상 ] 임계값을초과하였음을지적하며네트워크상의문제점을지적한다 [ 분석 ] 여러개의 Symptoms 이발생하여네트워크의실질적인문제점을지적한다

8 4. 주요기능사용하기 Capture 4 네트워크패킷캡쳐하기 4- Capture 의주요관찰포인트 Expert 는캡쳐가시작되면 Expert 윈도우창이자동으로생겨나며, 각 Layer 의이벤트를표시 Capture 할때의마우스이동포인트 Layer 의 Objects 클릭 Objects 외에도 Symptoms 및 Diagnoses 등의괄호안에숫자가있다면메시지를반드시확인하여야한다. Objects 의 Station 클릭각항목을소트 [ 정렬 ] 하여보는습관을같도록한다소트방법 : 각항목의이름을클릭한다 [ 예 :Rx Bytes등 ] Station 의 Rx Bytes / Tx Bytes / Connections 관찰 Rx Bytes : 수신된정보의양을표시해주는기능으로그림과같이수신만있고송신이없는경우는 IP 를찾아내서점검을반드시해야함 Tx Bytes : 송신된정보의양을표시해주는기능으로송신만있고수신이없다면내부컴퓨터의바이러스를검사해야함 Connections : 컴퓨터한대와연결된세션숫자표시 대의 PC 가 :N 으로연결되는경우를나타내며, Matrix 의수와일치한다. 숫자가높으면해당컴퓨터에서무조건 PP 프로그램및바이러스를검사

9 4. 주요기능사용하기 Expert 4 네트워크패킷캡쳐하기 4- Expert 탭의설명및관찰포인트 Stop and Display 아이콘 [ ] 을누르면새로운 Expert 화면이뜨면서하단부에 6 가지의탭이나타난다 Expert, Decode, Matrix, Host Table, Protocol Disribution, Statistics 의소개 Overview Protocol Statistics Summary Objects Expert 캡쳐하는동안네트워크의문제점을표시해주며잠재적인문제들을지적해준다 Overview[ 개요 ] : 각계층에대한통계자료표시 Protocol Statistics[ 프로토콜통계 ] : Overview 에서선택된계층의트래픽양을표시 Summary : Overview 에서선택된계층과통계에대한요약정보를보여준다 Objects : 해당데이터에대한상세한정보를나타내며물음표 (?) 는상황에대한분석을해준다 Decode 모든패킷의내용을열어서계층별관찰하며, Summary, Detail, Hex 의 가지로구분된다 실제적인데이터의흐름이보이는곳이다 Summary : 줄단위의요약된형태로캡쳐된패킷의전체내용을보여준다 Detail : Summary 창에서선택된패킷의자세한내용을보여준다 Hex : Summary 창에서선택된패킷의 6 진수코드와 ASCII(EBCDIC) 형태로보여준다

0 4. 주요기능사용하기 Expert 4 네트워크패킷캡쳐하기 4- Expert 탭의설명및관찰포인트 [ 계속 ] Matrix [- 참고 ] 네트워크의노드간대화에대한자료수집 MAC,IP,IPX 어플리케이션에대한정보를누적 바이러스및 PP 트래픽을쉽게관찰이가능 전체상황을한눈에파악이가능하여많이사용 캡쳐된데이터에대한 Matrix 화면제공 MAP[ ] : 트래픽패턴에대한직관적관찰을제공 :N 으로연결되는컴퓨터확인 Outline[ ] : 양노드의트래픽의양을프로토콜과바이트별로정리한내용을보여줌패킷별로정렬해서보는습관 Host Table [- 참고 ] 네트워크의모든노드에대한트래픽통계자료제공 막대및파이그래프로가장많이사용하는컴퓨터를확인한다 Outline[Detail] : 각노드에입출력된전체바이트와패킷에대한내용 TopN Bar[Pie] : 0 개의가장분주한노드표시 Export : 테이블형식에서만동작하며 CSV 파일로저장이가능하며엑셀로가공가능

4. 주요기능사용하기 Expert 4 네트워크패킷캡쳐하기 4- Expert 탭의설명및관찰포인트 [ 계속 ] Protocol Dist [-5 참고 ] 각계층별어플리케이션사용량을표시 스니퍼튜닝후에는프로토콜이세분화되어표시 가장많이사용되어지는어플리케이션파악용이 Others 를줄이는것이정확한분석에필요 Table : 어플리케이션별바이트와패킷량표시 TopN Bar[Pie] : 가장많이사용되는어플리케이션 Export : 테이블형식에서만동작하며 CSV 파일로저장이가능하며엑셀로가공가능 Statistics 캡쳐주기동안네트워크트래픽을분석하는데, 필요한통계적인정보제공 캡쳐데이터와측정시간 캡쳐동안에보여지는트래픽양 활용도통계자료 이정보는 Export 버튼을이용하여엑셀로변환하여가공이가능

5. 네트워크분석하기 Expert 5 Filter 의정의및사용 5- Filter 기능의이해및종류 필터의사용은네트워크분석에필요한데이터에만정밀하게초점을맞출수있다 필터의유형은사용하는방법에따라서 Monitor, Capture, Display Filter 가지로구분된다 본장에서는가장많이사용되어지는 Display Filter 에대해서만설명하기로한다 가지필터의유형 Monitor Filter : 특정한트래픽을모니터할때정의하며, 다른트래픽은보이지않는다 Capture Filter : 특정한트래픽을캡쳐버퍼에저장하고자할때정의하며, 다른트래픽은캡쳐되지않는다 Display Filter : 캡쳐버퍼내에서특정데이터를선택하여화면에표시할때정의하며, 가장많이사용되어지는필터이다 4 Define Filter : 관찰하고자하는데이터를정의한다 Display 의 Define Filter 선택 Summary : 현재선택된필터에대한설정내용을보여준다 Address : 네트워크노드주소를이용하여필터를설정한다 [Hardware,IP,IPX] Data Pattern : 데이터패턴을이용하여필터를설정한다 4 Advanced : Packet크기, 프로토콜, 등을이용하여필터를설정한다

5. 네트워크분석하기 Expert 5 Filter 의정의및사용 5- Define Filter 정의하기 [Display] Define Filter 는말그대로관찰하고자하는필터에대한정의만하는것이다 Filter 의기능은반드시 Decode 화면에서만가능하며아래의그림은 Define Filter 에대한그림이다 4 4 Address 탭을선택한다 Address Type 에서 IP 선택한다 Hardware : MAC Address [Layer ] IP : IP Address [Layer ] IPX : IPX address [Layer 4] 관찰하고싶은 IP 를 Station 에입력한다 Station : Source IP [ 출발지 IP] Station : Destination IP [ 도착지 IP] Dir. 은통신의방향을나타내는데, 필요에의해양방향및단방향을지정한다 데이터의방향 : 양방향데이터의방향 : Station -> 데이터의방향 : Station -> 5 6 5 확인을누르면관찰하고자하는필터에대해서정의가이루어지고창이사라진다 6 이필터를계속사용할것이라면 Profiles 을만들어주면된다

4 5. 네트워크분석하기 Expert 5 Filter 의정의및사용 5- Define Filter 사용하기 [Display] 메뉴의 Display 에서 Select Filter 를선택하면, Define Filter 에서정의된내용을선택해사용 메뉴에서 Display 를선택한다 Select Filter 를선택한다 오른쪽마우스를클릭해도나온다 4 5 Select Filter 창이나타난다 Display 의 Default 프로파일을선택한다 Define Filter 에서정의된프로파일 Capture 는 Capture Define Filter 이다 Define Filter 에서정의된내용이보여진다 필터를사용할때는반드시자신이관찰하고자하는내용이제대로 Define 되어있는지확인하고사용해야한다 4 5

5 5. 네트워크분석하기 Expert 5 Filter 의정의및사용 5-4 Define Filter 의결과물 [Display] 메뉴의 Display 에서 Select Filter 를선택하면, Define Filter 에서정의된내용을선택해사용 Define Filter 에서정의된필터의내용이나왔는지를확인한다 본화면에서는 68.48.84.95 와.. 80. 하고통신하는내용이보이고있다 필터와맞는내용이없을때는아래와같은메시지가나타난다 Decode 의내용이원본파일이다 필터를여러번사용할경우는반드시이곳으로이동하여필터를걸어야한다 필터에걸린파일은 Filtered 이라는이름으로탭이새로생성된다. 현재 Decode 를보고있는탭을항상확인하는것이좋다

6 6. 프로토콜분석기튜닝하기 Expert 6 프로토콜분석기튜닝하기 6- IP Application 의 Port 번호입력하기 분석을쉽고빠르게하기위해서몇가지설정을해주는것이좋다 본장에서는어플리케이션포트번호입력에대한부분만설명하기로한다 메뉴에서 Tools 를선택한다 Options... 을선택한다 아래의그림과같이 Options 창이나타나는데 Protocols 를선택한다 4 기본적으로분석기설치시 Well-Known Port 에대해서만몇가지입력이되어있다 여기에우리가원하는포트를입력한다 한가지예로 PP 프로그램중파일구리에대한입력방법을나타내고있다 Name = 파일구리 / Port = TCP 99 TCP / UDP 를구별하여입력하도록한다 입력후분석기를다시실행해야한다 [Tip] 대표적인 PP 프로그램의포트번호 TCP UDP 4 소리바다 900~9004 구루구루 99,88 E-Donkey 466~466 4665

6. 프로토콜분석기튜닝하기 7 6 프로토콜분석기튜닝하기 6- IP Application 의적용범위 Tools-Options-Protocols 에등록한프로토콜은분석기의전부분에걸쳐적용이된다 실시간모니터및캡쳐된파일에도적용이되어 Host Table, Protocol Dist 에서유용하게사용된다 한예로소리바다 [PP] Port 를등록한이후에는 IP 만보면소리바다를사용하는 PC 를알수있다 xxx xxx xxx xxx Host Table 에서소리바다어플리케이션확인 소리바다의송, 수신량을확인할수있다 Protocol Distribution 에서소리바다의막대그래프를확인할수있다

7. 사례분석 8 7 바이러스및보안침투패턴 7- Ms-Blaster.worm 공격사례 캡쳐된파일의 Decode, Matrix, Export 탭에서의관찰포인트를제시한다 IP 를증가시키며 TCP 5 로 Syn Flooding 연결수가많으며일정한사이즈로 Tx 가많음 :458 의연결형태

7. 사례분석 9 7 바이러스및보안침투패턴 7- Win-Palyh.worm 공격사례 캡쳐된파일의 Decode, Matrix, Export 탭에서의관찰포인트를제시한다 TCP 5[SMTP] 를이용메일발송 메일서버가없는데도존재하는것같이동작 [ 릴레이서버 ] :N 연결형태의메일은점검

7. 사례분석 0 7 바이러스및보안침투패턴 7- 보안침투사례 캡쳐된파일의 Decode, Export 탭에서의관찰포인트를제시한다 서버에서접근을 Denied 시킴 계속되는 Oracle DB 로그온시도

8. 알아두면편리한명령 8 MS-Dos 'command' 에서의명령 8- 명령어 netstat -an 의사용방법 해당 PC에서동작하는 Port 번호를알수있는명령으로실제동작상태를즉시확인가능하다. MS-Dos 의 Command 창을실행한다음 netstat an 을입력한다. C: Documents and Settings > netstat -an Active Connections Proto Local Address Foreign Address State TCP.6.xxx.84:8.6.0.5:445 SYN_SENT TCP.6.xxx.84:84.6.0.5:445 SYN_SENT TCP.6.xxx.84:85.6..9:5 SYN_SENT TCP.6.xxx.84:86.6..04:5 TIME_WAIT TCP.6.xxx.84:87.6..04:5 TIME_WAIT TCP.6.xxx.84:88.6..04:5 TIME_WAIT TCP.6.xxx.84:89.6.4.6:5 SYN_SENT TCP.6.xxx.84:840.6..9:5 SYN_SENT TCP.6.xxx.84:85.6.8.05:445 SYN_SENT TCP.6.xxx.84:85.6..4:5 SYN_SENT TCP.6.xxx.84:85.6..9:5 SYN_SENT TCP.6.xxx.84:854.6.8.05:445 SYN_SENT TCP.6.xxx.84:855.6.5.79:5 SYN_SENT TCP.6.xxx.84:856.6..9:5 SYN_SENT 시작 실행 cmd 입력 4 5 [WinXP 및 Windows 000 ] 도스창이뜨면명령어입력 사용중인프로토콜이보임 옆의그림은 Blaster.worm Blaster 는 445,5 포트로대량의 Syn_Sent 를보냄 특정포트로과도한 Syn_sent 가이루어지면바이러스감염 Well-Known-Port 및기타바이러스에대한포트를알아두는것이고장수리에도움이된다 HTTP [Web] : 80 SMTP [Mail] : 5 SMB [RPC] : 445 Telnet :

8. 알아두면편리한명령 8 MS-Dos 'command' 에서의명령 8- 명령어 nbtstat -a 의사용방법 아무 PC에서나 IP를이용하여사용자를알아낼수있는명령이다 [PC의 ' 컴퓨터이름 ' 이설정되었을때 ] MS-Dos 의 Command 창을실행한다음 nbtstat a 을입력한다. C: Documents and Settings > nbtstat -a 7.48.84.00 로컬영역연결 : Node IpAddress: [7.48.84.95] Scope Id: [] NetBIOS Remote Machine Name Table Name Type Status --------------------------------------------- 황영주 <00> UNIQUE Registered 황영주 <0> UNIQUE Registered MSHOME <00> GROUP Registered MSHOME <E> GROUP Registered 시작 실행 cmd 입력 [WinXP 및 Windows 000 ] 도스창이뜨면명령어입력 해당 IP 에대한사용자이름이확인된다. 옆의그림은 IP 7.48.84. 00 의사용자가 ' 황영주 ' 라는것을보여주고있다 4 스니퍼를통해 IP 를알아냈을때사용자를쉽게찾을수있다 MAC Address = 00-00-AA-4F-76-E5 C: Documents and Settings kwang>

8. 알아두면편리한명령 8 시스템모니터링의관찰포인트 8- 패킷크기별최대전송속도 최대전송량및최소패킷크기 -> 00Mbps 용랜카드사용시 :,500,000 bytes/s [ 00Mbps / 8bit ] 최소패킷크기 -> 최소데이터프레임 : 64 bytes DLC Header + IP Header + TCP/UDP Header + CRC -> Frame Gap : bytes [9.6 us = 96 bits = bytes] -> Preamble : 8 bytes [Preamble 6 bytes + SFD bytes] -> 최소패킷크기 : 64 + + 8 = 84 bytes -> 00Mbps 랜카드사용시최대전송량 : 48,809 Frames/sec [,500,000bytes / 84bytes] 네트워크에미치는영향 : 시스템 CPU 과부하에의한네트워크장비다운 최대패킷크기 -> 최대데이터프레임 : 58 bytes -> 최대패킷크기 : 58 + + 8 = 58 bytes -> 00Mbps 랜카드사용시최대전송량 : 8,7 Frames/sec [,500,000bytes / 58bytes] 네트워크에미치는영향 : 시스템메모리 Overflow, 대역폭과다점유, 네트워크속도저하 패킷사이즈별대역폭효율성 -> 64 bytes 64 bytes / 84 bytes X 00% = 76% -> 58 bytes 58 bytes / 58 bytes X 00% = 98%

4 감사합니다 글쓴이 : 김광식 [public@kt.co.kr] 문의사항 : 0-07-06