Microsoft Word - 3.doc

Similar documents
시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

TCP.IP.ppt

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

슬라이드 제목 없음

1217 WebTrafMon II

bn2019_2

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

SLA QoS

슬라이드 1

슬라이드 제목 없음

Microsoft Word - NAT_1_.doc

Microsoft Word doc

2009년 상반기 사업계획

歯홍원기.PDF

Microsoft Word - TM doc

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

UDP Flooding Attack 공격과 방어

Network seminar.key

Microsoft PowerPoint - thesis_rone.ppt

개요 IPv6 개요 IPv6 주소 IPv4와공존 IPv6 전환기술 (Transition Technologies)

Microsoft Word - release note-VRRP_Korean.doc

歯이시홍).PDF

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

슬라이드 1

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

제20회_해킹방지워크샵_(이재석)

Subnet Address Internet Network G Network Network class B networ

歯최덕재.PDF

°í¼®ÁÖ Ãâ·Â

IPv6Q 현배경 > 인터넷의급속한성장 -> IP 주소의고갈 개인휴대통신장치의보급 network TV, VOD 단말기등의인터넷연결 가정용품제어장치의인터넷연결 > 새로운 IP 로의이행문제 IPv4 호스트와의호환성문제를고려하여야합 ~ IPv4 의취약점보완 QoS 지원 인증

슬라이드 제목 없음

Microsoft PowerPoint - tem_5

Microsoft PowerPoint _TCP_IP

일반적인 네트워크의 구성은 다음과 같다

SMB_ICMP_UDP(huichang).PDF

Microsoft PowerPoint 통신과 통신망.ppt

발표순서 v 기술의배경 v 기술의구조와특징 v 기술의장, 단점 v 기타사항 v MOFI 적용방안 2 Data Communications Lab.

시스템을 제공한다는 특징이 있다. ONOS[4]는 성능, 확장성, 가용성을 중시하는 분산형 SDN 컨트롤러이 며 편의성 있는 Web GUI 와 SDN 컴포넌트 단위의 계층 구조를 통해 어플리케이션을 개발하고 컨트롤 러에 탑재할 수 있는 기능들을 제공한다. 하지만 ONO

Microsoft PowerPoint - 06-IPAddress [호환 모드]

Microsoft PowerPoint - 인소프트.ppt

Chapter11OSPF

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]

Microsoft PowerPoint - MobileIPv6_김재철.ppt

2. 인터네트워킹 서로떨어져있는각각의수많은네트워크들을연결하여하나의네트워크처럼연결하여사용할수있도록해주는것 3. 인터네트워킹에필요한장비 1 리피터 (Repeater) - 데이터가전송되는동안케이블에서신호의손실인감쇄 (Attenuation) 현상이발생하는데, 리피터는감쇄되는신

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

< BBEABEF7B5BFC7E228C3D6C1BE292E687770>

OSI 참조 모델과 TCP/IP

歯A1.1함진호.ppt

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

GRE(Generic Routing Encapsulation) GRE는 Cisco에서개발한터널링프로토콜으로써특정네트워크망에서새로운 IP 헤더를인캡슐레이션하여패켓을전송하는 VPN 기능을제공한다. GRE 터널링을이용하여패켓을전송하면, 데이터를암호화하지않기때문에보안적으로는취

Microsoft Word - src.doc

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

<4D F736F F D20C3D6C1BE202D D E7420B1E2B9DD20B4DCB8BB20C8A3BDBAC6AE20BFEEBFB5C3BCC1A620C0DAB5BF20C6C7BAB02E646F63>

슬라이드 1

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

[ tcpdump 패킷캡처프로그램 ] tcpdump란? tcpdump 버전확인 tcpdump 플래그 (flags) tcpdump 사용법 tcpdump의사용예제 telnet을활용해 root와 passwd 암호알아내기 [01] tcpdump란? tcpdump는 Lawren

歯III-2_VPN-김이한.PDF

Microsoft Word - 5.doc

Microsoft PowerPoint - 4-TPS Network Architecture.ppt

소프트웨어 융합 개론

<4D F736F F F696E74202D20C7C1B7B9C1A8C5D7C0CCBCC731202D20BAB9BBE7BABB2E >

歯Cablexpert제안서.PDF

6강.hwp

이동통신망에서의 VoLTE 트래픽 분류 방법에 대한 연구

Microsoft PowerPoint - ch02_인터넷 이해와 활용.ppt

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

[Brochure] KOR_TunA


7124SX_Data Sheet


< IDC 개념도 > - 2 -

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >

Microsoft Word - access-list.doc

[QoS 강좌] QoS에서의 혼잡 회피 적용과 이해 ②

Switching

PBNM CIM(Common Information Model) DEN, COPS LDAP 21 CIM (Common Information Model) CIM, specification schema [7]

Microsoft PowerPoint 통신과 통신망.ppt

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

한국의 IX 연동 현황 현재 국내 인터넷 연동 노드 (Internet exchange) 는케이아이엔엑스 (KINX), 한국정보화진흥원 (KIX), KT(KT-IX), LG 유플러스 (DIX) 를 중심으로 구축, 운영되고 있습니다. 이들 IX 간은 100Mbps~10Gb

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

Cloud Friendly System Architecture


슬라이드 1

BGP AS AS BGP AS BGP AS 65250

signature 와어플리케이션 signature 의포맷을재정의하고, LCS 의 modification 에필요한제약사항들과 modified LCS 알고리즘을실제트래픽에적용하는방법을설명한다. 또한 4 장에서는 modified LCS 알고리즘을기반으로실제 signature

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

놀이동산미아찾기시스템

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

슬라이드 1

Microsoft Word Question.doc

Microsoft Word - How to make a ZigBee Network_kr

DBPIA-NURIMEDIA

6-윤성호KICS hwp

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

Microsoft Word - 7.doc

<4D F736F F F696E74202D FB5A5C0CCC5CDC5EBBDC5B0FA20B3D7C6AEBFF6C5A9205BC8A3C8AF20B8F0B5E55D>

Wireshark Part 2 1

_장관보고자료

Transcription:

네트워크자원정보를이용한 Flow 트래픽분석시스템개발 (Development of Flow Traffic Analysis System using Network Resource Information) 성종규, 이민형, 황찬규, 유재형 KT 네트워크기술연구소 {jksung, minhl, ckhwang, styoo}@kt.co.kr 요 약 인터넷서비스를제공하는 ISP 에게는망의효율적인운용과관리를위해 Traffic Engineering, Capacity Planning 그리고 Network Provisioning 등을필요로한다. 그러기위해서는 IP 네트워크의전체적인트래픽상황에대한모니터링과분석이선행되어야한다. 트래픽분석방식으로는네트워크에직접측정트래픽을흘려보내측정하는 Active 방식과라우터를통한트래픽을 NetFlow 나 SNMP 등을통한 Passive 방식으로구분할수있다. 대부분의 ISP 는편리성과경제성을고려한라우터의 NetFlow 를이용한 Passive 트래픽분석방식이주류를이루고있다. 본논문에서는 NetFlow 정보를기반으로하는기존의일반적인방법과플로우트래픽자체의분석도중요하지만의미있는분석을위하여망관리정보인 IP 주소관리정보와 IP 망관리정보를관리하는시스템들과연동을통해망의다양한정보를분석할수있는플로우분석시스템에대해서기술한다.. 서론 005 년 0 월현재우리나라의초고속인터넷서비스가입자는 00 만명, 인터넷이용자는 천만명을돌파하고있다 []. 990 년대부터두드러지기시작한인터넷은통신시장의팽창을가져왔고인터넷서비스를제공하는 ISP 에게는치열한경쟁과다양한서비스를가져왔다. 망관리의역할도단순히망의상태를관리하는것이아니라망의효율적인운용과관리그리고특성을파악하여야한다. 망최적화 (Network Optimization), 트래픽특성분석 (Traffic Characterization) 그리고망감시 (Network Surveillance) 등의일련의작업이그것이다. 트래픽이모이는혼잡한구간이나사용률이낮은구간을조정하는 Traffic Engineering 그리고좀더장기적인측면에서망의위상 (Topology) 를계획하는 Network Planning 등의망최적화작업과 QoS 모니터링과비정상트래픽검출같은망감시작업을위해서는 IP 네트워크의전체적인상황을인지하고트래픽특성을분석하 는것이선행되어야한다. 트래픽측정방법으로는네트워크에직접측정트래픽을흘려보내측정하는 Active 방식과트래픽을주입하지않는 Passive 방식으로구분할수있다. 대표적인 Active 측정방법으로 ICMP 패킷을이용하는 ping 과, 라우팅경로를알려주는 traceroute 가있다. Passive 측정방법으로는 Tcpdump 와 DAG [] 같은패킷모니터링과라우터를이용한 NetFlow 와 SNMP 등이있다. 패킷수준의측정은패킷단위의세밀한측정이가능한반면백본망의고속회선을측정하기에는패킷을수집하는기술과시간에흐름에따라늘어나는데이터량등의시스템설계문제가따른다. 그리고 SNMP 는측정구간회선의전체트래픽을보여주어분석에한계가있다. 이런경제적인문제와세부적인분석의장점으로라우터의 NetFlow [] 를이용한트래픽분석방식이주류를이루고있다. 본고에서는동일한 Source Address, Destination Address, Protocol ID, Source Port, Destination Port 를가진패킷들의집합인 Flow 정보를수집분석하는플로우분석시스템에 7

대해서기술한다. 본논문의구조는 장에서는인터넷망에서의트래픽측정및분석분야의최근동향에대해서알아보고, 장에서는 Flow 의개념과 de facto 표준인 Cisco 사의 NetFlow 의구조에대해서살펴본다. 4 장에서는플로우분석시스템의구조와 KORNET 망의 IP 관리시스템과 IP 망관리시스템정보를이용한망의트래픽을분석하는방법을기술한다. 그리고 5 장에서는트래픽측정결과를분석하고 6 장에서앞으로연구방향을제시하며마친다.. 트래픽분석최근동향 단순한전화기와회선교환기 (Circuit Switch) 로이루어진전화망과는달리인터넷망은데이터전달의모든책임은단말의프로토콜에게맡기고망에서는패킷교환 (Packet Switch) 만을하고있는최선형서비스 (Best Effort Service) 를근간으로발전해왔다. 이런초창기의단순한철학이인터넷의큰성공을가져왔지만, 지금은좀더나은수준을보장해주는 VoIP, IP-TV, 스트리밍서비스등다양한서비스들이등장하였다. 동시에 PP 의등장으로대역폭의 50% 정도를차지하고있다고예상되고있다. 최근이런다양한응용프로그램을분석하는연구가활발히진행중이다. 망에어떤응용프로그램들이사용되는지를알아내는것이다. 대표적인 PP 같은응용프로그램들은특성상방화벽이나감시를피하기위해동적인 TCP/UDP 의포트정보를사용하는경향이있어 Layer 4 정보만가지고는정확한측정이불가능해졌다. 그래서패킷의 Layer 7 정보를분석하는연구가진행되었다 [4, 5]. 더나아가암호화되거나법적인문제때문에패킷의 Payload 를분석할수없는경우도고려하고있다 [6, 7]. 응용프로그램의분류가더진행된다면 QoS 를보장하기위해응용프로그램에따라차별화된서비스를제공할수있을것이다. 이런트래픽을분석하기위해서는망의트래픽을측정할수있어야한다. 서론에서언급한 Active/Passive 측정방법이그것이다. 종량제와패킷레벨의분석을위해서 Passive 방식의패킷캡쳐링기술이주목을받았다. 하지만회선의속도는앞으로 0G, 40G 까지빠르게증가하게되면패킷수집장치의개발속도와처리될많은량의데이터는저장공간의부족, 분석의어려움같은한계를가져올것이다. 그리고종량제를제외하면트래픽분석은샘플링 과필터링을통해서도가능하다. 그래서라우터에서는 NetFlow 를만들때샘플링을제공하고, 이런샘플링을더욱효과적으로할수있는연구와 NetFlow 를개량개선하는연구가계속되고있다 [8, 9].. Netflow 구조 플로우는일련의동일한특성을가진패킷의집합으로정의할수있다. 동일한특성으로는일반적으로 Source Address, Destination Address, Protocol ID, Source Port, Destination Port 등이있고실질적인응용데이터의흐름이다. SNMP 는측정구간회선의전체트래픽단위의통계정보이므로트래픽의세밀한분석에한계가있는반면에플로우레벨의분석은 WWW, ftp, 스트리밍서비스, pp 등의응용세션들의특성분석이가능하다. 이를지원하기위해서많은 Cisco 의 NetFlow, InMon 의 sflow [0] 와 ntop 의 nflow[] 같은플로우포맷이제안되고있으며, IETF IPFIX Working Group [] 에서는플로우표준화작업을진행하고있다. NetFlow 는 Cisco 에서개발한플로우형식이며, Cisco 라우터에서플로우기반의트래픽측정을가능하게한다. Juniper 라우터에서도 NetFlow 형식을채택하고있다. 표준화는되지않았지만대부분의네트워크에는 NetFlow 버전 5 형식이사용되고있으며, MPLS, 멀티캐스트, BGP 정보, IPv6 등의정보를담을수있는버전 9 (RFC 954) 으로바뀌고있다. 그리고버전 9 은사용자가플로우포맷에필요한정보를추가할수있다. 현재국내인터넷백본인 KORNET 은 NetFlow 버전 5 을사용하고있으며새로구축될프리미엄 MPLS 망에서는 NetFlow 버전 9 을지원할예정이다. 본플로우분석시스템은 KORNET 망에적용되었고, 곧프리미엄망에도적용될예정이다. 라우터의특정인터페이스에패킷이들어오면 DRAM 메모리의 NetFlow 플로우캐시에플로우정보를저장한다. 라우터의메모리는한정적이고기가급의패킷을처리해야하므로보통 :000 정도의샘플링하여패킷을처리하고플로우캐시를효율적으로관리하는몇가지룰을적용한다. ) TCP 플래그 (FIN 이나 RST) 를가진패킷이들어왔을때, ) 어떤플로우의마지막패킷이들어온후 5 초가지났을때 ) 어떤플로우가생성된후 0 분이지났을때, 4) 플로우캐시가가득찼을때, 플로우캐쉬에있는정보를 NetFlow 포맷에담아 UDP 로전 8

송한다. ), ) 의경우각각을 Active 타임아웃, Inactive 타임아웃이라고부르고라우터에서값을설정할수있다. 아래의그림 은 NetFlow 헤더포맷이다. Count 필드는이 NetFlow 패킷에포함되어있는플로우의수를나타낸다. 하나의 NetFlow 에는 0 개까지의플로우정보를실어서보낼수있다. 그각각의플로우정보는그림 의형태로 NetFlow 패킷에들어가게된다. 플로우정보에는플로우유지시간, 사용량에대한패킷수 / 바이트수, TCP/UDP 포트정보, IP 그리고라우팅에대한 AS, Prefix Mask 등이있다. 0 4 5 6 7 8 9 0 Version Engine Type 4 5 6 7 8 9 0 4 5 6 7 8 9 0 System Uptime UNIX Seconds UNIX NanoSeconds Flow Sequence Number Reserved Engine ID Count 그림. Netflow v5 패킷헤더포맷 그림. NetFlow v 5 플로우레코드포맷 NetFlow 버전 9 의경우는패킷헤더는같지만버전 5 처럼플로우정보를하나의포맷으로한정하고있지않다. 그림 의 NetFlow 버전 9 의패킷포맷을보면 Template FlowSet 이라는필드가임의의필드형식을정의하는곳이다. 그임의의필드형식에따른플로우정보들이뒤의 Data FlowSet 필드에들어간다. 버전 9 이되면서라우터에서 Multicast, MPLS, BGP Next Hop, IPv6 정보를담은 NetFlow 를지원할수있게되었다. Header version (, 5, 7, 8, 9) # records in Export Packet Export Packet sequence # source ID (identifies router) Template FlowSet FlowSet ID (0) Template Record Template ID (>55) Field Count (# fields) Field Type Field Length Field Type Field Length Field N Type Field N Length Template Record Template ID (>55) Field Count (# fields) Field Type Field Length Field Type Field Length Field N Type Field N Length Data FlowSet FlowSet ID Data Record Field Value Field Value Field N Value Data Record Field Value Field Value Field N Value Data FlowSet FlowSet ID Data Record Field Value Field Value Field N Value Data Record Field Value Field Value Field N Value 그림. NetFlow v9 패킷포맷 4. 플로우분석시스템구조 Option Template FlowSet FlowSet ID () Template ID (>55) Option Scope Option Scope Field Type Scope Field Option Field Type Option Field Option N Field Type Option N Field Length Option Data FlowSet FlowSet ID Option Data Record Scope Value Option Field Value Option N Field Value Option Data Record Scope Value Option Field Value Option N Field Value NetFlow 를처리하는툴로는 FlowScan [], Cflowd [4] 등의프리웨어들과시스코에서개발한상용 NetFllow FlowColletor / Data Analyzer [5] 처럼다양한시스템들이있다. KT 에서도 NetFlow 분석을위하여자체시스템을개발하여최근까지운용하고있다. 이는플로우데이터를저장하여사후가공분석하는구조이어서, 이후상세트래픽분석을용이하게하는장점이있지만, 망사업자의입장에서다수의회선에대한묶음의트래픽에대한동시분석을위하여는데이터자체가방대하고가공처리의많은어려움이있었다. 이에본고에서설명하고자하는시스템에서는이문제를해결하기위하여주요분석기능을그림 5 와같이플로우처리모듈에서메모리상에서바로처리하는구조로개발하였다. 또한추가적인분석기능을위하여 NetFlow 의 Protocol 별, Port 별, AS 별등의정보를바탕으로망의상세특성분석을반영할수있는의미있는정보를가공할필요가있다. 이를위해 IP 주소관리시스템과 IP 망관리시스템의연동을통해망의다양한정보를분석할수있도록하였다. 시스템구성은그림 4처럼 NetFlow 의수집과기본적인통계를처리를하는수집서버와분석을통해리포팅을해주는분석서버로되어있다. 수집서버는라우터에서 UDP 패킷으로전송되는 NetFlow 를수집한다. 참고로 NetFlow 버전 9부터는 TCP 와 SCTP 같은신뢰성있는프로토콜도지원한다. 그리고분석서 9

버는리포팅웹서버, 데이터베이스, 시스템관리기능을한다. 수집서버 Thread NetFlow NetFlow 수집수집 IPMS 정보 Thread 지역별 & 상품상품통계 시간통계정보지역별 & 상품별 NetFlow 필터링필터링 AS & Port 정보 AS AS & ISP ISP & Port Port 통계통계 AS & ISP & Port 통계 Thread Interface 정보 Interface & Router Router 통계통계 Interface & Router 통계통계전송전송 Protocol 정보 Protocol & 기타기타통계 Protocol & 기타통계 통계정보 NetFlow Buffer # NetFlow Buffer #N 상위상위 IP IP 통계통계 상위 IP 통계 NetFlow Record 분석서버 IP IP Core Core NMS NMS IPMS IPMS 웹서버웹서버 Gathering 데몬데몬 Oracle DB 그림 5. 시스템내부구조 그림 4. 시스템구성도 그림 5 의시스템내부구조에서수집서버는 NetFlow 를수집하면서동시에멀티쓰레드가통계데이터를생성하는구조이다. 각쓰레드는하나의트래픽분석단위가되는회선의모음인프로젝트단위로지역별, AS 별, ISP 별, 논리 Port 별, 인터페이스별, 라우터별, 프로토콜별에대한일차적인통계데이터를가공처리하며, 이에대한상위 IP 에대한통계를생성한다. 통계전송을담당하는쓰레드는각프로젝트별 시간단위로메모리에있는통계정보를분석서버로전송한다. 여기에서포트별분석, IP 별분석등의내용은너무많은양의데이터를메모리에서가공하여야하므로현실적인방안으로 Top N 에대하여관리하는방식으로시스템화하였다. 한편, 분석서버에서는수집서버로부터통계를전송받는부분 (Gathering 데몬 ) 과웹서버로리포팅기능하며다른 개의시스템과연동을하고있다. KT 의 IP 주소의할당정보를관리하는 IP 관리시스템과연동하여플로우정보의발신 / 수신 IP 주소를지역본부 / 지사지점까지의구분이가능하고 ADSL, VDSL, Netspot 등의상품별분류도가능하다. IP 망관리시스템과연동하여 NetFlow 를만드는라우터의정보를얻을수있다. 라우터의인터페이스를국제구간, IDC 구간, KIX 구간등으로분류하여트래픽의구간별통계정보를얻을수있다. 그림 6 에서와같이 KORNET 은크게전국의각지역에지역노드가있고, KORNET 백본구간을통해서다른지역본부, 국제구간, KIX, IDC 등으로연결되어있다. KIX(Korea Internet exchanger) 는한국전산원의인터넷교환노드로국내타 ISP 와연결하는역할을하며, IDC(Internet Data Center) 는국내의포탈사이트, 주요웹서버, 게임서버등을서비스하는장소이다. 플로우수집과분석은하나의프로제트단위로이루어지며프로젝트는복수개의라우터와복수개의인터페이스로구성되며, 양방향 / 단방향의분석이가능하다. 여기에시스코라우터인경우에는플로우의생성자체가단방향만지원하기때문에분석하고자하는회선의라우터와쌍이되는상대측의라우터에도 NetFlow 설정을해야하는단점이있다. 플로우분석의과정은다음과같다. 부산지역의트래픽을분석한다고가정하면, 부산지역과 KORNET 백본을연결하는중계라우터에 NetFlow 를설정한다. 트래픽량, 플로우수, 패킷수의 가지단위로통계를내며, 시간대별, 프로토콜별, 포트별, 어플리케이션별, AS 별, 국가별, ISP 별, Top N 사용자, 지역별, 서비스상품별통계를만든다. 또부산지역의트래픽이 KIX, IDC, 국제, 타지역등으로얼마만큼의분포를보이는지구분하며각각의구간으로어떤어플리케이션분포를이루는지통계를낸다. 비슷한방법으로특정 ISP 의분석, 국제구간등원하는구간의회선다발에대하여프로젝트를설정하여분석을할수있다. 0

IDC KIX 국내 ISP 북미 ISP 국제허브 KORNET 백본센터라우터 아시아 ISP 서버 IDC, KIX 등의정보가이에해당된다. Netflow 가설정된라우터가소속된조직정보와유출입되는플로우의 IP 주소관리정보와연계하여지역본부별통계, 노드별통계등망구성계위별트래픽통계정보를가공한다. 장비구성정보는라우터를설정하는 In/Out 인터페이스의구성정보등이해당되며, 중계를담당하는라우터의 In/Out 그룹별분석에의하여그림 8 과같이특정지역본부에서유입된트래픽이타지역구간, 국제, IDC, KIX 등으로의흐름을분석할수있게한다. 지역노드 6. 측정결과및분석 그림 6. KORNET 구성도 5. 망자원정보와트래픽분석 기존플로우분석시스템과는달리망의다양한관점에서분석할수있도록 IP 주소관리시스템과 IP 망관리시스템을연동하여, 플로우기본정보이외에구간별, 지역별, 서비스상품별등과같은분석기능이가능토록구현하였다. KORNET 센터와지역구간의라우터 대의 0G 회선총 4 개에대해 005 년 / 일 7 시부터 일 0 시까지 (8 시간 ) 의플로우정보를분석하였다. 샘플링은 /000 로하였다. 해당지역에서 KORNET 백본구간으로향하는방향을상향으로, 해당지역으로의트래픽을하향으로정하였다. 5.. IP 주소자원정보 IP 주소자원정보는각지역별, 계위별, 서비스서버군별 IP 주소할당내역과또한각 IP 주소별사용서비스상품등을포함한다. 플로우트래픽내부에는라우터와스위치에각각의포트에해당되는바이트와패킷이용량을측정하는 SNMP polling 방식의트래픽분석방법과큰차이점은내부에 IP 정보를내포하고있다는점이다. 예를들면망에서트래픽을최대로발생하고있는 source 호스트의 IP 의분석이나가장이용량이많은 destination 서비스서버등을파악할수있게한다. 플로우의발착신 IP 주소와이주소가속한노드, 서비스상품코드를이용하여그림, 그림 와같이해당노드별트래픽통계, 서비스상품별통계등의상세분석이가능하게된다. 5.. 조직정보및장비구성정보 조직정보는대부분의망관리시스템이이를기반으로통계분석데이터를가공하여운용자에제공하는정보이며, 지역본부, 노드, 센터, 그림 7. 분석결과메인화면 총받은 NetFlow 패킷수는 9,455,008 개이고총수신바이트수는 500Mbyte 이다. 시에서 시가트래픽이가장많이발생하였고, 전체상향트래픽량은 79Gbyte 이고하향트래픽량은 Gbyte 으로하향트래픽이 배정도많음을알수있다. 대부분의사용자들이서버의역할을하기보다는웹서비스와같은서비스를받는경향이있기때문이다. 그림 7 은분석결과웹메인화면이다.

6.. KORNET 구간별트래픽분석 KIX KIX 국제구간국제구간 46% % IDC KORNET IDC 백본백본 5% 5% 타지역구간타지역구간 기때문에, 새로운포트나같은프로그램에서유동적인포트번호를사용하는경우에는반영되기어려움이있다. 포트분포를잘파악하여트래픽성향의변화에대응해야한다. 아래그림 9 와 0 에서는구간별트래픽분석이아니라설정구간전체의상향 / 하향포트분포를살펴보겠다. 지역사용자지역사용자 KIX KIX 국제구간국제구간 46% 8% IDC IDC 6% KORNET 백본백본 0% 타지역구간타지역구간 그림 9. 상향트래픽의포트분포 지역사용자지역사용자 그림 8. 하향 / 상향구간별트래픽점유비율 위의구간별하향트래픽점유비율을보면, KIX 구간트래픽이 46% 로가장많고 IDC 구간은 5%, 국제구간 %, 타지역구간은 5% 이다. 상향트래픽은역시 46% 로 KIX 가가장많고, 국제구간 8%, 타지역구간 0%, IDC 는 6% 의분포를보인다. 하향트래픽이 배정도많은것을고려하면 IDC 구간에서는거의모든트래픽이하향에분포하고있다. 콘텐트를담고있는서버들이위치하고있고다운받는파일들이커지기때문이다. IDC 구간의하향응용프로그램을살펴보면, 웹서비스 6%, 스트리밍서비스 0%, PP %, 웹폴더 % 순으로나타난다. 반면 KIX 구간은하향에서웹서비스 4%, 스트리밍 %, PP % 등이며상향에서는웹서비스는 6%, PP 0% 등이다. 지역의일반사용자들이많기때문에상향에서는웹트래픽이적고, PP 등의서비스가많이검출되고있다. 그리고 PP 등이더욱많아진다면타지역구간과의트래픽이많이늘어날것이다. Layer 4 의포트번호로응용프로그램을찾 그림 0. 하향트래픽의포트분포 상향트래픽은웹과 edonkey 가각각 %, 0% 로 Top 을차지하고있고하향트래픽은웹이 8%, 90(Club_Box, PP 의일종 ) 이 6%, edonkey 가 5% 를이루고있다. 하향에서는역시웹서비스가 8% 로두드러진다. 그리고 edonkey 트래픽이상 / 하향 0% 정도검출되고있다. PP 등의주요응용프로그램이부분적으로분포되고있지만그림에서보이듯이포트번호만으로분류를하기에는너무나다양한포트들이사용되는것을알수있다.

6.. 지역별 / 상품별분석 IP 관리시스템의 IP 의할당정보를이용하면지역과상품정보를알수있다. 부산지역의하향트래픽을지역별, 상품별분석해보자. 그림 에서부산지역의지사, 지점별분포이다. 발신주소와착신주소로분석이가능하며, 각지사지점의서비스상품별분포도검색할수있다. 6.. 기타분석 플로우정보에대한 protocol, IP, ToS 등의분석이있고, AS 번호에대한분석을위하여 whois 서버를이용해 AS 이름, ISP, 국가정보를구축하였다. 그리고 IP 기준으로상위 Top N 보고서등이있다. Protocol 별분석에서는 TCP 트래픽이대부분을차지하고있고, 그다음은 UDP 가약간의트래픽이있으며그외의트래픽은미미한정도의트래픽량만결과로나왔다. TOS 분석은아직까지 KORNET 망에서는 QoS 서비스나 CoS 서비스와같은등급별서비스를제공하는망이아니므로, 거의모든플로우에대하여동일한값을보이고있다. 이는앞으로고려하고있는 QoS 가적용되어있는망에서는각서비스등급별분석을가능하게할것이다. AS 와 ISP 에대한분석을통하여해외및국내타망사업자와의회선에대한트래픽이용량과실제적인상세트래픽내용을파악할수있게되었다. 7. 결론 그림. 하향트래픽의착신지역분포 그림 는서비스상품별분포이다. 해당분석시간에서는 KORNET_EXPRESS 서비스가 56% 로가장많고 ADSL 이 6% 로다음이다. KORNET_EXPRESS 서비스에는 Ntopia 와 VDSL 등이포함되어있다. 앞으로지역별가입자성향, 서비스상품별가입자성향의분석이가능할것이다. 본논문에서는 KORNET 망에서 NetFlow 를수집하여트래픽을분석하는플로우분석시스템에대하여기술하였다. 기존의유사시스템과는달리망의다양한관점에서분석할수있도록 IP 주소관리시스템과 IP 망관리시스템을연동하여, 플로우기본정보이외에구간별, 지역별, 서비스상품별등과같은분석기능을추가하였다. 앞으로분석한인터넷망의특성과성향은망설계와정책수립의자료로사용될것이다. 또한추후 MPLS 기반의 QoS 를제공하는망에대하여 LSP 에관련된트래픽분석, CoS (Class of Service) 의서비스영향에관련된트래픽분석, IPTV 와같은 Multicast 기반서비스의트래픽분석방안에대한연구가진행될것이다. 참고문헌 그림. 하향트래픽의서비스상품별분포 [] 정보통신부, 005 년 0 월유무선통계자료 (www.mic.go.kr). [] The DAG project, http://dag.cs.waikato.ac.nz [] Sampled Netflow : http://www.cisco.com/ [4] S. Sen, O. Spatschechk, and D. Wang, Accurate, Scalable In-Network Identification of PP Traffic Using Application Signatures, WWW004, New York, USA, May 004. [5] S. Sen and J. Wang, Analyzing peer-to-peer

traffic across large networks, Proc. of ACM SIGCOMM Internet Measurement Workshop, Marseilles, France, November, 00 [6] T. Karagiannis, A. Broido, M. Faloutsos and Kc Claffy, Transport Layer Identification of PP Traffic, IMC 004 [7] S. Ohzahata, Yoichi Hagiwara, Matsuaki Terada and Konsuke Kawashima, A Traffic Identification Method and Evaluations for a Pure PP Application, PAM 005 [8] C. Estan, Ken Keys, David Moore and George Varghese, Building a Better NetFlow, SIGCOMM 004 [9] Ramana Rao Kompella and Cristian Estan, The Power of Slicing in Internet Flow Measurement, Internet Measurement Conference 005 [0] P. Phaal, S. Panchen and N. Mckee, InMon operation s sflow : A Method for Monitoring Traffic in Switched and Routed Networks, IETF RFC76,, September 00 [] Luca Deri, Ntop, http://www.ntop.org [] IETF Working Group IPFIX (IP Flow Information Export), http://www.ietf.org/ html.charters/ipfixchart er.html [] Flowscan : http://www.caida.org/tools/uti lities/ flowscan/ [4] cflowd : http://www.caida.org/tools/measu rement/cflowd/ [5] Cisco Collector and Analyzer : http://www. cisco.com 004.9 ~ 현재 KT 네트워크기술연구소인터넷연구담당전임연구원 < 관심분야 > 트래픽분석, 네트워크보안, 네트워크 QoS 황찬규 984. : 경북대학교전자공학과학사 986. : 경북대학교전자공학과석사 986. ~ 현재 KT 네트워크기술연구소인터넷연구담당 IP 서비스연구부장 < 관심분야 > 유무선네트워크관리, 라우팅프로토콜, QoS, SLA, 네크워크보안 유재형 98. : 연세대학교전자공학과학사 985. : 연세대학교전자공학과석사 999.8 : 연세대학교전자공학과박사 986. ~ 현재 KT 네트워크기술연구소인터넷연구담당상무대우 < 관심분야 > 통신망운용관리, 네트워크보안, 네트워크 QoS, 실시간 flow traffic, PP, multicast network 관리기술 성종규 994. : 경북대학교전자공학과학사 996. : 경북대학교전자공학과석사 996. ~ 현재 KT 네트워크기술연구소인터넷연구담당책임연구원 < 관심분야 > 네트워크 / 서비스관리, 네트워크보안, QoS 이민형 00.8 : 서울대학교컴퓨터공학과학사 004.8 : 서울대학교컴퓨터공학과석사 4

2024 © docsplayer.org 개인정보보호 | 약관 | 지원