네트워크 트래픽 분석 및 모니터링 프로그램 개요
일체 포함. 코스트로미츠키 박사 기술. 과학, V.S. 송곳
소개
트래픽 모니터링은 효과적인 네트워크 관리에 필수적입니다. 이는 자금 할당, 컴퓨팅 성능 계획, 오류 식별 및 현지화, 보안 문제 해결 시 고려되는 기업 애플리케이션의 기능에 대한 정보 소스입니다.
그리 멀지 않은 과거에는 트래픽 모니터링이 비교적 간단한 작업이었습니다. 일반적으로 컴퓨터는 버스 토폴로지를 기반으로 네트워크로 연결되었습니다. 즉, 공유 전송 매체를 가졌습니다. 이를 통해 단일 장치를 네트워크에 연결하여 모든 트래픽을 모니터링할 수 있었습니다. 그러나 네트워크 용량 증가에 대한 요구와 패킷 스위칭 기술의 개발로 인해 스위치 및 라우터 가격이 하락하면서 공유 미디어에서 고도로 분할된 토폴로지로의 급속한 전환이 이루어졌습니다. 더 이상 전체 트래픽을 한 지점에서 볼 수 없습니다. 전체 그림을 얻으려면 각 포트를 모니터링해야 합니다. 지점 간 연결을 사용하면 장치 연결이 불편해지고 모든 포트를 수신하려면 너무 많은 장치가 필요하므로 비용이 엄청나게 많이 듭니다. 또한, 스위치와 라우터 자체가 복잡한 아키텍처를 갖고 있어 패킷 처리 및 전송 속도가 네트워크 성능을 결정하는 중요한 요소가 됩니다.
현재 과학 과제 중 하나는 현대 다중 서비스 네트워크의 자기 유사 트래픽 구조를 분석(및 추가 예측)하는 것입니다. 이 문제를 해결하기 위해서는 기존 네트워크의 다양한 통계(속도, 전송 데이터량 등)를 수집하고 분석하는 것이 필요하다. 다양한 소프트웨어 도구를 사용하여 이러한 통계를 어떤 형태로든 수집할 수 있습니다. 그러나 실제로 다양한 도구를 사용할 때 매우 중요한 추가 매개변수 및 설정 세트가 있습니다.
다양한 연구자들이 다양한 프로그램을 사용하여 네트워크 트래픽을 모니터링합니다. 예를 들어, 에서 연구원들은 Ethreal 네트워크 트래픽 분석기(스니퍼) 프로그램(Wireshark)을 사용했습니다.
리뷰에는 , , 에서 사용할 수 있는 무료 버전의 프로그램이 포함되어 있습니다.
1. 네트워크 트래픽 모니터링 프로그램 개요
우리는 약 10개의 트래픽 분석기 프로그램(스니퍼)과 12개 이상의 네트워크 트래픽 모니터링 프로그램을 검토했으며 그 중에서 가장 흥미로운 4개를 선택하고 주요 기능에 대한 개요를 제공합니다.
1) BM익스트림(그림 1).
이것은 잘 알려진 대역폭 모니터 프로그램의 새 이름입니다. 이전에는 프로그램이 무료로 배포되었으나 현재는 세 가지 버전이 있으며 기본 버전만 무료입니다. 이 버전은 트래픽 모니터링 자체 이외의 기능을 제공하지 않으므로 다른 프로그램의 경쟁자로 간주될 수 없습니다. 기본적으로 BMExtreme은 인터넷 트래픽과 로컬 네트워크의 트래픽을 모두 모니터링하지만 원하는 경우 LAN 모니터링을 비활성화할 수 있습니다.
쌀. 1
2) BW미터(그림 2).
이 프로그램에는 하나가 아닌 두 개의 트래픽 추적 창이 있습니다. 하나는 인터넷 활동을 표시하고 다른 하나는 로컬 네트워크를 표시합니다.
쌀. 2
이 프로그램에는 트래픽 모니터링을 위한 유연한 설정이 있습니다. 도움을 받으면 이 컴퓨터에서만 또는 로컬 네트워크에 연결된 모든 컴퓨터에서 인터넷의 데이터 수신 및 전송을 모니터링해야 하는지 여부를 결정하고 모니터링할 IP 주소, 포트 및 프로토콜 범위를 설정할 수 있습니다. 실시되지 않습니다. 또한 특정 시간이나 요일 동안 트래픽 추적을 비활성화할 수 있습니다. 시스템 관리자는 로컬 네트워크의 컴퓨터 간에 트래픽을 분산시키는 기능을 높이 평가할 것입니다. 따라서 각 PC에 대해 데이터 수신 및 전송의 최대 속도를 설정할 수 있으며 한 번의 클릭으로 네트워크 활동을 금지할 수도 있습니다.
매우 작은 크기에도 불구하고 이 프로그램에는 매우 다양한 기능이 있으며 그 중 일부는 다음과 같습니다.
모든 네트워크 인터페이스와 네트워크 트래픽을 모니터링합니다.
지정된 방향의 특정 사이트까지 또는 지정된 시간에 로컬 네트워크의 각 시스템에서 발생하는 트래픽까지 트래픽의 모든 부분의 볼륨을 추정할 수 있는 강력한 필터 시스템입니다.
선택한 필터를 기반으로 사용자 정의 가능한 네트워크 연결 활동 그래프를 무제한으로 제공합니다.
모든 필터에서 트래픽 흐름을 제어(제한, 일시 중지)합니다.
내보내기 기능을 갖춘 편리한 통계 시스템(1시간~1년)
BWMeter를 사용하여 원격 컴퓨터의 통계를 보는 기능.
특정 이벤트에 도달하면 경고 및 알림을 제공하는 유연한 시스템입니다.
최대 사용자 정의 옵션 포함 모습.
서비스로 실행될 가능성.
3) 대역폭 모니터 프로(그림 3).
개발자들은 트래픽 모니터링 창 설정에 많은 관심을 기울였습니다. 첫째, 프로그램이 화면에 지속적으로 표시할 정보를 결정할 수 있습니다. 이는 오늘 및 특정 기간, 평균, 현재 및 최대 연결 속도 동안 수신 및 전송된 데이터의 양(개별 및 총)이 될 수 있습니다. 여러 네트워크 어댑터가 설치된 경우 각 어댑터에 대한 통계를 별도로 모니터링할 수 있습니다. 동시에 각 네트워크 카드에 필요한 정보도 모니터링 창에 표시될 수 있습니다.
쌀. 삼
이와 별도로 여기에서 매우 성공적으로 구현된 알림 시스템에 대해 언급할 가치가 있습니다. 지정된 기간 동안 특정 양의 데이터 전송, 최대 다운로드 속도 달성, 연결 속도 변경 등 지정된 조건이 충족될 때 프로그램의 동작을 설정할 수 있습니다. 여러 사용자가 작업하는 경우 컴퓨터에서 전체 트래픽을 모니터링해야 하는 경우 프로그램을 서비스로 실행할 수 있습니다. 이 경우 Bandwidth Monitor Pro는 로그인으로 시스템에 로그인하는 모든 사용자의 통계를 수집합니다.
4) DU트래픽(그림 4).
DUTraffic은 무료 상태로 인해 모든 리뷰 프로그램과 구별됩니다.
쌀. 4
상업용 제품과 마찬가지로 DUTraffic은 특정 조건이 충족되면 다양한 작업을 수행할 수 있습니다. 예를 들어, 평균 또는 현재 다운로드 속도가 지정된 값보다 낮을 때, 인터넷 세션 기간이 지정된 시간을 초과할 때, 특정 시간이 지나면 오디오 파일을 재생하거나 메시지를 표시하거나 인터넷 연결을 끊을 수 있습니다. 데이터 양이 전송되었습니다. 또한, 예를 들어 프로그램이 특정 양의 정보 전송을 감지할 때마다 다양한 작업을 주기적으로 수행할 수 있습니다. DUTraffic의 통계는 각 사용자 및 각 인터넷 연결에 대해 별도로 유지됩니다. 이 프로그램은 선택한 기간 동안의 일반 통계와 속도, 전송 및 수신된 데이터의 양, 각 세션의 재정적 비용에 대한 정보를 모두 표시합니다.
5) 선인장 모니터링 시스템(그림 5).
Cacti는 오픈 소스 웹 애플리케이션입니다(설치 파일 없음). Cacti는 특정 시간 간격에 대한 통계 데이터를 수집하고 이를 그래픽으로 표시할 수 있습니다. 이 시스템에서는 RRDtool을 사용하여 그래프를 작성할 수 있습니다. 대부분의 표준 템플릿은 프로세서 로드, RAM 할당, 실행 중인 프로세스 수 및 들어오고 나가는 트래픽 사용에 대한 통계를 표시하는 데 사용됩니다.
네트워크 장비로부터 수집된 통계를 표시하는 인터페이스는 사용자가 그 구조를 지정하는 트리 형태로 제공됩니다. 일반적으로 그래프는 특정 기준에 따라 그룹화되며 동일한 그래프가 트리의 다른 분기에 나타날 수 있습니다(예: 서버의 네트워크 인터페이스를 통한 트래픽 - 회사 인터넷 트래픽의 전체 그림을 전용으로 표시하는 그래프). 특정 장치의 매개변수가 있는 분기에서). 미리 컴파일된 차트 세트를 볼 수 있는 옵션과 미리보기 모드가 있습니다. 각 그래프는 개별적으로 볼 수 있으며 마지막 날, 주, 월, 연도별로 표시됩니다. 일정이 생성될 기간을 독립적으로 선택할 수 있으며 이는 달력 매개변수를 지정하거나 간단히 마우스로 특정 영역을 선택하여 수행할 수 있습니다.
1 번 테이블
|
설정/프로그램 |
BM익스트림 |
BW미터 |
대역폭 모니터 프로 |
DU트래픽 |
선인장 |
|
설치 파일 크기 |
473KB |
1.91MB |
1.05MB |
1.4MB |
|
|
인터페이스 언어 |
러시아인 |
러시아인 |
영어 |
러시아인 |
영어 |
|
속도 그래프 |
|||||
|
트래픽 그래프 |
|||||
|
내보내기/가져오기(내보내기 파일 형식) |
–/– |
(*.csv) |
–/– |
–/– |
(*.xls) |
|
최소 -데이터 보고서 사이의 시간 간격 |
5 분. |
1 초. |
1 분. |
1 초. |
1 초. |
|
변화의 가능성분 |
|||||
2. 네트워크 트래픽 분석기 프로그램(스니퍼) 검토
트래픽 분석기 또는 스니퍼는 다른 노드를 대상으로 하는 네트워크 트래픽을 가로채서 후속 분석하거나 분석만 하도록 설계된 프로그램 또는 하드웨어 및 소프트웨어 장치인 네트워크 트래픽 분석기입니다.
스니퍼를 통과한 트래픽 분석을 통해 다음을 수행할 수 있습니다.
비밀번호 및 기타 정보를 얻기 위해 암호화되지 않은(때로는 암호화된) 사용자 트래픽을 차단합니다.
네트워크 오류 또는 네트워크 에이전트 구성 오류를 찾습니다. 스니퍼는 시스템 관리자가 이 목적으로 자주 사용합니다.
"전통적인" 스니퍼 트래픽 분석은 가장 간단한 자동화 도구(프로토콜 분석, TCP 스트림 복원)만 사용하여 수동으로 수행되므로 소량만 분석하는 데 적합합니다.
1) 와이어샤크(이전의 Ethereal).
이더넷 컴퓨터 네트워크 및 기타 일부를 위한 트래픽 분석기 프로그램입니다. 그래픽 사용자 인터페이스가 있습니다. Wireshark는 다양한 네트워크 프로토콜의 구조를 "알고" 있는 애플리케이션이므로 네트워크 패킷을 구문 분석하여 모든 수준에서 각 프로토콜 필드의 의미를 표시할 수 있습니다. pcap은 패킷 캡처에 사용되므로 이 라이브러리에서 지원하는 네트워크에서만 데이터 캡처가 가능합니다. 그러나 Wireshark는 다양한 입력 데이터 형식을 처리할 수 있으므로 다른 프로그램에서 캡처한 데이터 파일을 열어 캡처 기능을 확장할 수 있습니다.
2) 아이리스회로망교통분석기.
패키지 수집, 필터링, 검색, 보고서 생성 등의 표준 기능 외에도 이 프로그램은 데이터 재구성을 위한 고유한 기능을 제공합니다. Iris 네트워크 트래픽 분석기는 다양한 웹 리소스를 사용하여 사용자 세션을 자세히 재현하는 데 도움이 되며 쿠키를 사용하여 보안 웹 서버에 액세스하기 위한 비밀번호 전송을 시뮬레이션할 수도 있습니다. 디코드 모듈에 구현된 고유한 데이터 재구성 기술은 수집된 수백 개의 바이너리 네트워크 패킷을 친숙한 이메일, 웹 페이지, ICQ 메시지 등으로 변환합니다. eEye Iris를 사용하면 웹 메일 및 인스턴트 메시징 프로그램에서 암호화되지 않은 메시지를 볼 수 있어 기존 기능을 확장할 수 있습니다. 모니터링 및 감사 도구.
eEye Iris 패킷 분석기를 사용하면 날짜와 시간, 해커와 피해자 컴퓨터의 IP 주소와 DNS 이름, 사용된 포트 등 공격에 대한 다양한 세부 정보를 캡처할 수 있습니다.
3) 이더넷인터넷교통통계량.
이더넷 인터넷 트래픽 통계는 수신 및 수신된 데이터의 양(바이트 단위 - 총계 및 마지막 세션)과 연결 속도를 보여줍니다. 명확성을 위해 수집된 데이터는 실시간으로 그래프로 표시됩니다. 설치 없이 작동하며 인터페이스는 러시아어와 영어입니다.
네트워크 활동 정도를 모니터링하는 유틸리티 - 수신 및 승인된 데이터의 양을 표시하고 세션, 일, 주 및 월에 대한 통계를 유지합니다.
4) 통신 트래픽.
이는 모뎀(전화 접속) 또는 전용 연결을 통해 인터넷 트래픽 통계를 수집, 처리 및 표시하는 네트워크 유틸리티입니다. 로컬 네트워크 세그먼트를 모니터링할 때 CommTraffic은 세그먼트에 있는 각 컴퓨터의 인터넷 트래픽을 표시합니다.
CommTraffic에는 네트워크 성능 통계를 그래프와 숫자 형식으로 표시하는 쉽게 사용자 정의할 수 있고 사용자 친화적인 인터페이스가 포함되어 있습니다.
표 2
|
설정/프로그램 |
와이어샤크 |
Iris 네트워크 트래픽 분석기 |
이더넷 인터넷 트래픽 통계 |
통신 트래픽 |
|
설치 파일 크기 |
17.4MB |
5.04MB |
651KB |
7.2MB |
|
인터페이스 언어 |
영어 |
러시아인 |
영어 러시아어 |
러시아인 |
|
속도 그래프 |
||||
|
트래픽 그래프 |
||||
|
내보내기/가져오기(내보내기 파일 형식) |
+/– (*.txt, *.px, *.csv, *.psml, *.pdml, *.c) |
–/– |
–/– |
–/– |
|
주문형 모니터링 실행 |
||||
|
최소 -데이터 보고서 사이의 시간 간격 |
0.001초 |
1 초. |
1 초. |
1 초. |
|
변화의 가능성분 -데이터 보고서 간의 두 번째 단계 |
결론
전반적으로 대부분의 가정 사용자는 Bandwidth Monitor Pro가 제공하는 기능에 만족할 것이라고 말할 수 있습니다. 네트워크 트래픽 모니터링을 위한 가장 기능적인 프로그램에 대해 이야기한다면 이는 물론 BWMeter입니다.
검토한 네트워크 트래픽 분석기 프로그램 중에서 더 많은 기능을 갖춘 Wireshark를 강조하고 싶습니다.
Cacti 모니터링 시스템은 과학적 목적으로 네트워크 트래픽을 연구하는 경우 부과되는 증가된 요구 사항을 최대한 충족합니다. 앞으로 이 기사의 저자는 Kharkov 국립 무선 전자 대학교 통신 네트워크학과의 기업 다중 서비스 네트워크에서 트래픽을 수집하고 예비 분석하기 위해 이 특정 시스템을 사용할 계획입니다.
서지
플라토프 V.V., 페트로프 V.V. 무선 네트워크에서 텔레트래픽의 자기유사 구조 연구 // 무선 엔지니어링 노트북. 남: OKB MPEI. 2004. 3호. 58-62페이지.
페트로프 V.V. 자기 유사성 효과의 영향을 받아 서비스 품질을 보장하기 위한 텔레트래픽 구조 및 알고리즘. 기술 과학 후보자의 과학 학위 논문, 05.12.13, 모스크바, 2004, 199 p.
경우에 따라 네트워크 트래픽 분석은 호스트 및 네트워크 세그먼트의 네트워크 스택 기능 문제를 감지하는 데 사용됩니다. 전송된 프레임, 네트워크 패킷, 네트워크 연결, 데이터그램 및 애플리케이션 프로토콜 수준에서 네트워크 작동을 표시(듣기)하고 분석할 수 있는 도구가 있습니다..
에 따라 상황에서는 네트워크 트래픽이 수신되는 노드의 트래픽과 네트워크 세그먼트, 라우터 포트 등의 트래픽을 모두 진단에 사용할 수 있습니다.. 고급 트래픽 차단 기능은 다음을 기반으로 합니다. "난잡한" 모드네트워크 어댑터 작동: 모든 프레임이 처리됩니다(정상 작동에서와 같이 특정 MAC 주소 및 브로드캐스트로 향하는 프레임뿐만 아니라)..
이더넷 네트워크에는 트래픽 수신을 위한 다음과 같은 기본 기능이 있습니다.
- 허브 기반 네트워크에서는 모든 충돌 도메인 트래픽을 모든 네트워크 스테이션에서 사용할 수 있습니다..
- 네트워크 스테이션 스위치를 기반으로 하는 네트워크에서는 해당 트래픽은 물론 이 세그먼트의 모든 브로드캐스트 트래픽을 사용할 수 있습니다..
- 일부 관리형 스위치에는 특정 포트에서 모니터링 포트로 트래픽을 복사하는 기능이 있습니다.(“미러링”, 포트 모니터링).
- 네트워크 연결을 끊고 별도의 포트로 연결 트래픽을 전송하는 특수 수단(커플러)을 사용합니다.
- 허브가 있는 "트릭"- 트래픽을 청취해야 하는 스위치 포트는 허브를 통해 켜지고, 모니터 노드도 허브에 연결됩니다(이 경우 대부분의 경우 네트워크 연결 성능이 저하됩니다).
프로그램이 있습니다 ( 네트워크 모니터 또는 분석기, 스니퍼)는 네트워크 트래픽을 수신하고(무차별 모드 포함) 이를 표시하거나 파일에 쓰는 기능을 구현합니다. 또한 분석 소프트웨어는 규칙을 기반으로 트래픽을 필터링하고, 프로토콜을 디코딩(해독)하고, 통계를 읽고, 일부 문제를 진단할 수 있습니다.
메모: 네트워크 트래픽 분석을 위한 기본 도구로 적합합니다. 그래픽 환경무료 패키지입니다 와이어샤크[43], Windows 및 일부 Linux 배포판의 저장소에서 사용할 수 있습니다.
tcpdump 유틸리티
tcpdump 콘솔 유틸리티는 대부분의 Unix 시스템에 포함되어 있으며 이를 통해 네트워크 트래픽을 가로채고 표시할 수 있습니다[44]. 이 유틸리티는 이식 가능한 C/C++ 라이브러리인 libpcap을 사용하여 네트워크 트래픽을 캡처합니다.
Debian에 tcpdump를 설치하려면 다음 명령을 사용할 수 있습니다.
# apt-get 설치 tcpdump
이 유틸리티를 실행하려면 권한이 있어야 합니다. 수퍼유저(특히 네트워크 어댑터를 "무차별" 모드로 전환해야 하기 때문에) 일반적으로 명령 형식은 다음과 같습니다.
tcpdump<опции> <фильтр-выражение>
콘솔 출력의 경우 헤더 설명(해독된 데이터) 가로채는 패킷의 경우 트래픽 분석을 위한 인터페이스를 지정해야 합니다(옵션 -i):
# tcpdump -i eth0
IP 주소를 도메인 이름으로 변환하는 것을 비활성화할 수 있습니다(대량의 트래픽으로 인해 DNS 서버에 대한 많은 요청이 생성되므로) - 옵션 -n:
# tcpdump -n -i eth0
링크 수준 데이터(예: mac 주소 등)를 출력하려면 -e 옵션을 사용합니다.
# tcpdump -en -i eth0
추가 정보 인쇄(예: TTL, IP 옵션) - 옵션 -v:
# tcpdump -ven -i eth0
캡처된 패킷의 크기 늘리기(기본적으로 68바이트 이상) - 크기를 나타내는 옵션 -s(-s 0 - 전체 패킷 캡처):
파일에 쓰기(직접 패키지 - "dump") - 파일 이름을 나타내는 옵션 -w:
# tcpdump -w traf.dump
파일에서 패키지 읽기 - 옵션 - r 파일 이름 지정:
# tcpdump -r traf.dump
기본적으로 tcpdump는 무차별 모드로 실행됩니다. -p 스위치는 tcpdump에게 해당 호스트로 향하는 트래픽만 가로채도록 지시합니다.
tcpdump 필터 스위치 및 형식에 대한 자세한 내용은 참조 설명서(man tcpdump)를 참조하세요.
tcpdump를 사용한 네트워크 인터페이스 수준 및 네트워크 수준의 트래픽 분석
이더넷 프레임을 할당하기 위해 다음 tcpdump 구성이 사용됩니다(일반 보기):
tcpdump 에테르(src | dst | 호스트) MAC_ADDRESS
여기서 src는 소스 MAC 주소입니다. 일광- 대상 MAC 주소, 호스트 - src 또는 일광, 방송 트래픽을 강조하는 데에도 사용됩니다.
패킷 스니핑은 네트워크 트래픽을 분석하는 기술을 나타내는 구어체 용어입니다. 대중적인 믿음과는 달리, 이메일이나 웹 페이지 같은 것들은 인터넷을 통해 한 조각으로 이동하지 않습니다. 수천 개의 작은 데이터 패킷으로 분할되어 인터넷을 통해 전송됩니다. 이 기사에서는 최고의 무료 네트워크 분석기와 패킷 스니퍼를 살펴보겠습니다.
네트워크 트래픽을 수집하는 유틸리티는 많이 있으며 대부분은 pcap(Unix 계열 시스템) 또는 libcap(Windows)을 코어로 사용합니다. 또 다른 유형의 유틸리티는 이 데이터를 분석하는 데 도움이 됩니다. 적은 양의 트래픽이라도 탐색하기 어려운 수천 개의 패킷을 생성할 수 있기 때문입니다. 거의 모든 유틸리티는 데이터 수집 측면에서 서로 거의 다르지 않으며, 주요 차이점은 데이터 분석 방법에 있습니다.
네트워크 트래픽을 분석하려면 네트워크 작동 방식을 이해해야 합니다. 두 장치 간의 연결을 시작하는 데 사용되는 TCP "3방향 핸드셰이크"와 같이 분석가의 네트워크 기본 지식을 마법처럼 대체할 수 있는 도구는 없습니다. 또한 분석가는 ARP 및 DHCP와 같이 정상적으로 작동하는 네트워크에서 네트워크 트래픽 유형을 어느 정도 이해하고 있어야 합니다. 분석 도구는 사용자가 요청한 작업을 간단히 보여주기 때문에 이러한 지식이 중요합니다. 무엇을 요구할지 결정하는 것은 당신에게 달려 있습니다. 네트워크가 일반적으로 어떤 모습인지 모른다면 수집한 대량의 패키지에서 필요한 것을 찾았는지 알기 어려울 수 있습니다.
최고의 패킷 스니퍼 및 네트워크 분석기
산업용 도구
맨 위에서 시작해 기본 사항까지 진행해 보겠습니다. 기업 수준의 네트워크를 다루고 있다면 큰 무기가 필요할 것입니다. 거의 모든 것이 핵심에서 tcpdump를 사용하지만(나중에 자세히 설명) 엔터프라이즈급 도구는 여러 서버의 트래픽 상관 관계, 문제 식별을 위한 지능형 쿼리 제공, 예외에 대한 경고, 좋은 그래프 생성과 같은 특정 복잡한 문제를 해결할 수 있습니다. 상사가 항상 요구하는 것입니다.
엔터프라이즈 수준 도구는 일반적으로 패킷 내용을 평가하기보다는 네트워크 트래픽 스트리밍에 맞춰져 있습니다. 즉, 기업 내 대부분의 시스템 관리자의 주요 초점은 네트워크에 성능 병목 현상이 발생하지 않도록 하는 것입니다. 이러한 병목 현상이 발생할 경우 일반적으로 문제의 원인이 네트워크에 있는지 아니면 네트워크의 응용 프로그램에 있는지 확인하는 것이 목표입니다. 반면에 이러한 도구는 일반적으로 너무 많은 트래픽을 처리할 수 있으므로 네트워크 대역폭 관리의 중요한 지점인 네트워크 세그먼트가 완전히 로드되는 시기를 예측하는 데 도움이 될 수 있습니다.
이것은 매우 큰 IT 관리 도구 세트입니다. 이 기사에서는 해당 구성 요소인 심층 패킷 검사 및 분석 유틸리티가 더 적합합니다. 네트워크 트래픽을 수집하는 것은 매우 간단합니다. WireShark와 같은 도구를 사용하면 기본 분석도 문제가 되지 않습니다. 그러나 상황이 항상 완전히 명확하지는 않습니다. 사용량이 매우 많은 네트워크에서는 다음과 같은 아주 간단한 것조차 결정하기 어려울 수 있습니다.
네트워크의 어떤 애플리케이션이 이 트래픽을 생성하고 있습니까?
- 알려진 애플리케이션(예: 웹 브라우저)인 경우 사용자는 대부분의 시간을 어디에서 보냅니까?
- 어떤 연결이 가장 길고 네트워크에 과부하가 걸리나요?
대부분의 네트워크 장치는 각 패킷의 메타데이터를 사용하여 패킷이 필요한 곳으로 이동하는지 확인합니다. 패킷의 내용은 네트워크 장치에서 알 수 없습니다. 또 다른 것은 심층 패킷 검사입니다. 이는 패키지의 실제 내용을 확인한다는 의미입니다. 이러한 방식으로 메타데이터에서 수집할 수 없는 중요한 네트워크 정보를 검색할 수 있습니다. SolarWinds에서 제공하는 것과 같은 도구는 단순한 교통 흐름보다 더 의미 있는 데이터를 제공할 수 있습니다.
데이터 집약적인 네트워크를 관리하기 위한 다른 기술로는 NetFlow 및 sFlow가 있습니다. 각각의 강점과 약점이 있으며,
NetFlow 및 sFlow에 대해 자세히 알아볼 수 있습니다.
일반적으로 네트워크 분석은 습득된 지식과 실제 업무 경험을 기반으로 하는 고급 주제입니다. 네트워크 패킷에 대한 상세한 지식을 갖도록 사람을 훈련시킬 수 있지만, 그 사람이 네트워크 자체에 대한 지식이 없고 이상 현상을 식별한 경험이 없으면 제대로 수행하지 못할 것입니다. 이 문서에 설명된 도구는 원하는 것이 무엇인지는 알고 있지만 어떤 유틸리티가 가장 좋은지 확신할 수 없는 숙련된 네트워크 관리자가 사용해야 합니다. 경험이 부족한 시스템 관리자가 일상적인 네트워킹 경험을 얻기 위해 사용할 수도 있습니다.
기초
네트워크 트래픽을 수집하는 주요 도구는 다음과 같습니다.
거의 모든 Unix 계열 운영 체제에 설치되는 오픈 소스 애플리케이션입니다. Tcpdump는 매우 정교한 필터링 언어를 갖춘 뛰어난 데이터 수집 유틸리티입니다. 분석을 위한 일반적인 데이터 집합으로 끝나려면 데이터를 수집할 때 데이터를 필터링하는 방법을 아는 것이 중요합니다. 네트워크 사용량이 중간 정도인 경우에도 네트워크 장치에서 모든 데이터를 캡처하면 분석하기 매우 어려운 너무 많은 데이터가 생성될 수 있습니다.
드문 경우지만, 필요한 것을 찾기 위해 tcpdump 캡처 데이터를 화면에 직접 인쇄하는 것만으로도 충분합니다. 예를 들어, 이 글을 쓰는 동안 트래픽을 수집했는데 내 컴퓨터가 내가 모르는 IP 주소로 트래픽을 보내고 있다는 사실을 발견했습니다. 내 컴퓨터가 Google IP 주소 172.217.11.142로 데이터를 보내고 있었던 것으로 나타났습니다. 저는 구글 제품도 없고 지메일도 열려있지 않아서 왜 이런 일이 일어나는지 알 수 없었습니다. 시스템을 점검한 결과 다음과 같은 내용을 발견했습니다.
[ ~ ]$ ps -ef | grep 구글 사용자 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=서비스
Chrome이 실행되지 않을 때에도 서비스로 계속 실행되는 것으로 나타났습니다. 패킷 분석이 없었다면 이 사실을 눈치채지 못했을 것입니다. 몇 가지 데이터 패킷을 더 캡처했지만 이번에는 tcpdump에 데이터를 파일에 쓰는 작업을 제공한 다음 Wireshark에서 열었습니다(자세한 내용은 나중에 설명). 항목은 다음과 같습니다.
Tcpdump는 명령줄 유틸리티이기 때문에 시스템 관리자가 선호하는 도구입니다. tcpdump를 실행하는 데는 GUI가 필요하지 않습니다. 프로덕션 서버의 경우 그래픽 인터페이스는 시스템 리소스를 소비하므로 다소 유해하므로 명령줄 프로그램이 더 좋습니다. 많은 최신 유틸리티와 마찬가지로 tcpdump에는 익히는 데 시간이 걸리는 매우 풍부하고 복잡한 언어가 있습니다. 몇 가지 매우 기본적인 명령에는 네트워크 인터페이스를 선택하여 데이터를 수집하고 해당 데이터를 파일에 기록하여 다른 곳에서 분석할 수 있도록 하는 작업이 포함됩니다. 이를 위해 -i 및 -w 스위치가 사용됩니다.
# tcpdump -i eth0 -w tcpdump_packets tcpdump: eth0에서 수신 대기, 링크 유형 EN10MB(이더넷), 캡처 크기 262144바이트 ^C51 패킷 캡처
이 명령은 캡처된 데이터가 포함된 파일을 생성합니다.
file tcpdump_packets tcpdump_packets: tcpdump 캡처 파일(little-endian) - 버전 2.4(이더넷, 캡처 길이 262144)
이러한 파일의 표준은 pcap 형식입니다. 텍스트가 아니므로 이 형식을 이해하는 프로그램을 통해서만 분석할 수 있습니다.
3.윈덤프
가장 유용한 오픈 소스 유틸리티는 결국 다른 운영 체제에 복제됩니다. 이런 일이 발생하면 애플리케이션이 마이그레이션되었다고 합니다. Windump는 tcpdump의 포트이며 매우 유사한 방식으로 작동합니다.
Windump와 tcpdump의 가장 중요한 차이점은 Windump가 실행되기 전에 Windump가 Winpcap 라이브러리를 설치해야 한다는 것입니다. Windump와 Winpcap은 동일한 관리자가 제공하더라도 별도로 다운로드해야 합니다.
Winpcap은 사전 설치되어야 하는 라이브러리입니다. 하지만 Windump는 exe 파일이므로 설치할 필요가 없으므로 그냥 실행하시면 됩니다. Windows 네트워크를 사용하는 경우 명심해야 할 사항입니다. 필요에 따라 복사할 수 있으므로 모든 시스템에 Windump를 설치할 필요는 없지만 Windup을 지원하려면 Winpcap이 필요합니다.
tcpdump와 마찬가지로 Windump는 분석을 위해 네트워크 데이터를 표시하고 동일한 방식으로 필터링하며 나중에 분석하기 위해 데이터를 pcap 파일에 쓸 수도 있습니다.
4. 와이어샤크
Wireshark는 시스템 관리자 도구 상자에서 다음으로 가장 유명한 도구입니다. 데이터를 캡처할 수 있을 뿐만 아니라 일부 고급 분석 도구도 제공합니다. 또한 Wireshark는 오픈 소스이며 거의 모든 기존 서버 운영 체제로 포팅되었습니다. Etheral이라고 불리는 Wireshark는 이제 독립 실행형 휴대용 애플리케이션을 포함하여 어디에서나 실행됩니다.
GUI를 사용하여 서버의 트래픽을 분석하는 경우 Wireshark가 모든 작업을 수행할 수 있습니다. 데이터를 수집한 후 바로 분석할 수 있습니다. 그러나 GUI는 서버에서 드물기 때문에 원격으로 네트워크 데이터를 수집한 다음 컴퓨터의 Wireshark에서 결과 pcap 파일을 검사할 수 있습니다.
Wireshark를 처음 시작할 때 기존 pcap 파일을 로드하거나 트래픽 캡처를 실행할 수 있습니다. 후자의 경우 필터를 추가로 설정하여 수집되는 데이터의 양을 줄일 수 있습니다. 필터를 지정하지 않으면 Wireshark는 선택한 인터페이스에서 모든 네트워크 데이터를 수집합니다.
Wireshark의 가장 유용한 기능 중 하나는 스트림을 따라가는 기능입니다. 스레드를 체인으로 생각하는 것이 가장 좋습니다. 아래 스크린샷에서는 캡처된 많은 데이터를 볼 수 있지만, 제가 가장 관심을 보인 것은 Google의 IP 주소였습니다. 마우스 오른쪽 버튼을 클릭하고 TCP 스트림을 따라가면 전체 체인을 볼 수 있습니다.
트래픽이 다른 컴퓨터에서 캡처된 경우 Wireshark 파일 -> 열기 대화 상자를 사용하여 PCAP 파일을 가져올 수 있습니다. 캡처된 네트워크 데이터와 마찬가지로 가져온 파일에도 동일한 필터 및 도구를 사용할 수 있습니다.
5.샤크
Tshark는 tcpdump와 Wireshark 사이의 매우 유용한 링크입니다. Tcpdump는 데이터 수집 능력이 뛰어나며 필요한 데이터만 외과적으로 추출할 수 있지만 데이터 분석 기능은 매우 제한적입니다. Wireshark는 캡처와 분석 모두에 뛰어나지만 사용자 인터페이스가 너무 커서 GUI가 없는 서버에서는 사용할 수 없습니다. tshark를 사용해 보세요. 명령줄에서 작동합니다.
Tshark는 Wireshark와 동일한 필터링 규칙을 사용하는데, 이는 본질적으로 동일한 제품이므로 놀랄 일이 아닙니다. 아래 명령은 tshark에게 패킷의 HTTP 부분에서 대상 IP 주소와 기타 관심 있는 필드를 캡처하도록 지시합니다.
# tshark -i eth0 -Y http.request -T 필드 -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla/5.0(X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.0.122 Mozilla/5.0(X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0(X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0(X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.0.122 Mozilla/5.0(X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico
트래픽을 파일에 쓰려면 -W 옵션을 사용한 다음 -r(읽기) 스위치를 사용하여 읽습니다.
첫 번째 캡처:
# tshark -i eth0 -w tshark_packets "eth0" 캡처 102 ^C
여기에서 읽어보거나 분석을 위해 다른 곳으로 옮겨보세요.
# tshark -r tshark_packets -Y http.request -T 필드 -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0(X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /contact 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/ 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/2010 1 파이어폭스 / 57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla/5.0(X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack .js 172.20.0.122 Mozilla/5.0(X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0(X11; Linux x86_64; rv:57.0) Gecko/ 2010 0101 Firefox/57.0 /res/images/title.png
이는 단순한 스니퍼라기보다는 네트워크 포렌식 분석 도구 범주에 더 많이 속하는 매우 흥미로운 도구입니다. 법의학 분야는 일반적으로 조사 및 증거 수집을 다루며 Network Miner는 이 작업을 잘 수행합니다. Wireshark가 TCP 스트림을 따라 전체 패킷 전송 체인을 재구성할 수 있는 것처럼 Network Miner는 스트림을 따라 네트워크를 통해 전송된 파일을 복구할 수 있습니다.
Network Miner는 네트워크에 전략적으로 배치되어 관심 있는 트래픽을 실시간으로 관찰하고 수집할 수 있습니다. 네트워크에서 자체 트래픽을 생성하지 않으므로 은밀하게 작동합니다.
네트워크 마이너는 오프라인에서도 작업할 수 있습니다. tcpdump를 사용하여 네트워크 관심 지점에서 패킷을 수집한 다음 PCAP 파일을 Network Miner로 가져올 수 있습니다. 다음으로, 녹음된 파일에서 발견된 파일이나 인증서를 복구해 볼 수 있습니다.
Network Miner는 Windows용으로 제작되었지만 Mono를 사용하면 Linux, MacOS 등 Mono 플랫폼을 지원하는 모든 OS에서 실행할 수 있습니다.
무료 버전, 보급형 버전이 있지만 적절한 기능 세트가 있습니다. 지리적 위치 및 사용자 정의 스크립트와 같은 추가 기능이 필요한 경우 Professional 라이센스를 구입해야 합니다.
7. 피들러(HTTP)
기술적으로는 네트워크 패킷 캡처 유틸리티는 아니지만 매우 유용하여 이 목록에 포함되었습니다. 모든 소스에서 네트워크 트래픽을 캡처하도록 설계된 여기에 나열된 다른 도구와 달리 Fiddler는 디버깅 도구에 가깝습니다. HTTP 트래픽을 캡처합니다. 많은 브라우저의 개발자 도구에 이미 이 기능이 있지만 Fiddler는 브라우저 트래픽에만 국한되지 않습니다. Fiddler는 웹 애플리케이션이 아닌 애플리케이션을 포함하여 컴퓨터의 모든 HTTP 트래픽을 캡처할 수 있습니다.
많은 데스크톱 애플리케이션은 HTTP를 사용하여 웹 서비스에 연결하며, Fiddler 외에 분석을 위해 이러한 트래픽을 캡처하는 유일한 방법은 tcpdump 또는 Wireshark와 같은 도구를 사용하는 것입니다. 그러나 패킷 수준에서 작동하므로 분석을 위해서는 이러한 패킷을 HTTP 스트림으로 재구성해야 합니다. 간단한 연구를 수행하는 것은 많은 작업이 될 수 있으며 Fiddler가 필요한 곳입니다. Fiddler는 애플리케이션에서 보낸 쿠키, 인증서 및 기타 유용한 데이터를 감지하는 데 도움이 됩니다.
Fiddler는 무료이며 Network Miner와 마찬가지로 거의 모든 운영 체제에서 Mono로 실행될 수 있습니다.
8. 캡사
Capsa 네트워크 분석기에는 각각 다른 기능을 갖춘 여러 버전이 있습니다. 첫 번째 수준에서 Capsa는 무료이며 기본적으로 패킷을 캡처하고 이에 대한 기본적인 그래픽 분석을 수행할 수 있습니다. 대시보드는 고유하며 경험이 없는 시스템 관리자가 네트워크 문제를 신속하게 식별하는 데 도움이 될 수 있습니다. 무료 등급은 패키지에 대해 자세히 알아보고 분석 기술을 구축하려는 사람들을 위한 것입니다.
무료 버전을 사용하면 300개 이상의 프로토콜을 모니터링할 수 있고, 이메일 모니터링은 물론 이메일 콘텐츠 저장에도 적합하며, 특정 상황이 발생할 때 경고를 트리거하는 데 사용할 수 있는 트리거도 지원합니다. 이런 점에서 Capsa는 어느 정도 지원 도구로 사용될 수 있습니다.
Capsa는 Windows 2008/Vista/7/8 및 10에서만 사용할 수 있습니다.
결론
우리가 설명한 도구를 사용하여 시스템 관리자가 네트워크 모니터링 인프라를 생성하는 방법을 쉽게 이해할 수 있습니다. Tcpdump 또는 Windump는 모든 서버에 설치할 수 있습니다. cron 또는 Windows 스케줄러와 같은 스케줄러는 적시에 패킷 수집 세션을 시작하고 수집된 데이터를 pcap 파일에 기록합니다. 그런 다음 시스템 관리자는 이러한 패킷을 중앙 시스템으로 전송하고 Wireshark를 사용하여 분석할 수 있습니다. 네트워크가 너무 큰 경우 SolarWinds와 같은 엔터프라이즈급 도구를 사용하여 모든 네트워크 패킷을 관리 가능한 데이터 세트로 전환할 수 있습니다.
러시아 연방 교육과학부
주립 교육 기관 "상트페테르부르크 주립 폴리테크닉 대학교"
체복사리경제경영연구소(분원)
고등수학과 정보기술학과
추상적인
"정보 보안"과정에서.
주제: "네트워크 분석기"
완전한
4학년생 월급 080502-51M
'경영'을 전공하다
기계공학 기업에서"
파블로프 K.V.
체크됨
선생님
체복사리 2011
소개
이더넷 네트워크는 우수한 처리량, 설치 용이성 및 합리적인 네트워크 장비 설치 비용으로 인해 엄청난 인기를 얻었습니다.
그러나 이더넷 기술에는 심각한 단점이 없는 것은 아닙니다. 가장 중요한 것은 전송된 정보의 불안정성입니다. 이더넷 네트워크에 연결된 컴퓨터는 이웃에게 전달된 정보를 가로챌 수 있습니다. 그 이유는 이더넷 네트워크에 채택된 소위 브로드캐스트 메시징 메커니즘 때문입니다.
네트워크에 컴퓨터를 연결하면 정보 보안의 기존 원칙이 깨집니다. 예를 들어 정적 보안에 관한 것입니다. 과거에는 시스템 관리자가 적절한 업데이트를 설치하여 시스템 취약점을 발견하고 수정할 수 있었으며 관리자는 설치된 "패치"의 기능을 몇 주 또는 몇 달 후에만 확인할 수 있었습니다. 그러나 이 "패치"는 사용자가 실수로 또는 작업 중에 제거했거나 다른 관리자가 새 구성 요소를 설치할 때 제거했을 수 있습니다. 모든 것이 변하고 있으며 이제 정보 기술이 너무 빠르게 변하여 정적 보안 메커니즘이 더 이상 완전한 시스템 보안을 제공하지 못합니다.
최근까지 기업 네트워크를 보호하는 주요 메커니즘은 방화벽이었습니다. 그러나 조직의 정보 리소스를 보호하도록 설계된 방화벽은 그 자체로 취약한 경우가 많습니다. 이는 시스템 관리자가 액세스 시스템을 너무 많이 단순화하여 결국 보안 시스템의 돌담이 체처럼 구멍으로 가득 차게 되었기 때문에 발생합니다. 여러 방화벽을 사용하면 네트워크 성능에 큰 영향을 미칠 수 있으므로 트래픽이 많은 기업 네트워크에는 방화벽(방화벽) 보호가 실용적이지 않을 수 있습니다. 어떤 경우에는 "문을 활짝 열어두고" 네트워크 침입을 탐지하고 대응하는 방법에 집중하는 것이 더 좋습니다.
기업 네트워크를 지속적으로(24시간, 연중무휴, 1년 365일) 모니터링하여 공격을 탐지하기 위해 공격 탐지 시스템인 "활성" 보호 시스템이 설계되었습니다. 이러한 시스템은 기업 네트워크 노드에 대한 공격을 탐지하고 보안 관리자가 지정한 방식으로 대응합니다. 예를 들어 공격 노드와의 연결을 중단하거나, 관리자에게 알리거나, 공격에 대한 정보를 로그에 입력합니다.
1. 네트워크 분석기
1.1 IP - 알리다 1개 또는 첫 번째 네트워크 모니터
먼저 지역방송에 대해 몇 마디 말씀드리겠습니다. 이더넷 네트워크에서 연결된 컴퓨터는 일반적으로 동일한 케이블을 공유하며, 이는 서로 간에 메시지를 보내는 매체 역할을 합니다.
공통 채널을 통해 메시지를 전송하려는 사람은 먼저 해당 채널이 특정 시간에 무료인지 확인해야 합니다. 전송이 시작되면 컴퓨터는 신호의 반송파 주파수를 듣고 동시에 데이터를 전송하는 다른 컴퓨터와의 충돌로 인해 신호가 왜곡되었는지 여부를 판단합니다. 충돌이 발생하면 전송이 중단되고 컴퓨터는 잠시 후에 전송을 다시 시도하기 위해 일정 시간 동안 "무음 상태가 됩니다". 이더넷 네트워크에 연결된 컴퓨터가 자체적으로 아무것도 전송하지 않는 경우에도 이웃 컴퓨터가 네트워크를 통해 전송하는 모든 메시지를 계속 "수신"합니다. 들어오는 데이터의 헤더에서 네트워크 주소를 확인한 컴퓨터는 이 부분을 로컬 메모리에 복사합니다.
컴퓨터를 이더넷 네트워크에 연결하는 방법에는 두 가지 주요 방법이 있습니다. 첫 번째 경우 컴퓨터는 동축 케이블을 사용하여 연결됩니다. 이 케이블은 컴퓨터에서 컴퓨터로 연결되며 T자형 커넥터가 있는 네트워크 어댑터에 연결되고 끝은 BNC 터미네이터로 끝납니다. 전문 용어로 이 토폴로지를 이더넷 10Base2 네트워크라고 합니다. 그러나 “모든 사람이 모든 사람의 말을 듣는” 네트워크라고도 할 수 있습니다. 네트워크에 연결된 모든 컴퓨터는 다른 컴퓨터가 해당 네트워크를 통해 전송한 데이터를 가로챌 수 있습니다. 두 번째 경우, 각 컴퓨터는 연선 케이블을 통해 중앙 스위칭 장치의 별도 포트(허브 또는 스위치)에 연결됩니다. 이더넷 lOBaseT 네트워크라고 하는 이러한 네트워크에서 컴퓨터는 충돌 도메인이라는 그룹으로 나뉩니다. 충돌 도메인은 공통 버스에 연결된 허브 또는 스위치 포트로 정의됩니다. 결과적으로 네트워크의 모든 컴퓨터 간에 충돌이 발생하지 않습니다. 그리고 별도로 - 동일한 충돌 도메인의 일부인 충돌 간에는 전체 네트워크의 처리량이 증가합니다.
최근에는 브로드캐스팅을 사용하지 않고 포트 그룹을 서로 닫지 않는 대규모 네트워크에 새로운 유형의 스위치가 나타나기 시작했습니다. 대신, 네트워크를 통해 전송된 모든 데이터는 메모리에 버퍼링되어 최대한 빨리 전송됩니다. 그러나 그러한 네트워크는 여전히 꽤 많이 있으며 전체 이더넷 유형 네트워크 수의 5%를 넘지 않습니다.
따라서 대다수의 이더넷 네트워크에 채택된 데이터 전송 알고리즘에서는 네트워크에 연결된 각 컴퓨터가 예외 없이 모든 네트워크 트래픽을 지속적으로 "수신"해야 합니다. "다른 사람의" 메시지를 전송하는 동안 컴퓨터가 네트워크에서 연결이 끊어지는 일부 사람들이 제안한 액세스 알고리즘은 과도한 복잡성, 높은 구현 비용 및 낮은 효율성으로 인해 실현되지 않았습니다.
IPAlert-1은 무엇이며 어디에서 왔습니까? 옛날 옛적에 네트워크 보안 연구와 관련된 분야의 저자들의 실제적, 이론적 연구는 다음과 같은 아이디어를 이끌어 냈습니다. 인터넷은 물론 다른 네트워크(예: Novell NetWare, Windows NT)에서도 보안 소프트웨어가 심각하게 부족했습니다. 복잡한 문헌에 설명된 모든 유형의 원격 영향을 감지하기 위해 네트워크를 통해 전송되는 전체 정보 흐름의 링크 수준에서 제어(모니터링)합니다. 인터넷 네트워크 보안 소프트웨어 시장에 대한 연구에 따르면 이러한 포괄적인 원격 공격 탐지 도구는 존재하지 않았으며, 존재했던 도구는 특정 유형의 공격(예: ICMP 리디렉션 또는 ARP)을 탐지하도록 설계되었습니다. 따라서 인터넷에서 사용하기 위한 IP 네트워크 세그먼트에 대한 모니터링 도구 개발이 시작되었으며 IP Alert-1 네트워크 보안 모니터라는 이름을 받았습니다.
전송 채널에서 네트워크 트래픽을 프로그래밍 방식으로 분석하는 이 도구의 주요 작업은 통신 채널을 통해 수행되는 원격 공격을 격퇴하는 것이 아니라 이를 탐지하고 기록하는 것입니다(후속 시각적 작업에 편리한 형태로 기록하여 감사 파일 유지). 특정 네트워크 세그먼트에 대한 원격 공격과 관련된 모든 이벤트 분석) 원격 공격이 감지되면 보안 관리자에게 즉시 경고합니다. IP Alert-1 네트워크 보안 모니터의 주요 작업은 해당 인터넷 세그먼트의 보안을 모니터링하는 것입니다.
IP Alert-1 네트워크 보안 모니터에는 다음과 같은 기능이 있으며 네트워크 분석을 통해 제어하는 네트워크 세그먼트에 대한 다음 원격 공격을 탐지할 수 있습니다.
1. 제어되는 네트워크 세그먼트 내에 위치한 호스트가 전송하는 패킷에서 IP 주소와 이더넷 주소의 대응을 모니터링합니다.
IP Alert-1 호스트에서 보안 관리자는 정적 ARP 테이블을 생성하고 여기에 제어된 네트워크 세그먼트 내에 있는 호스트의 해당 IP 및 이더넷 주소에 대한 정보를 입력합니다.
이 기능을 사용하면 IP 주소의 무단 변경 또는 대체(소위 IP 스푸핑, 스푸핑, IP 스푸핑(jarg))를 감지할 수 있습니다.
2. 원격 ARP 검색 메커니즘의 올바른 사용을 모니터링합니다. 이 기능을 사용하면 정적 ARP 테이블을 사용하여 원격 False ARP 공격을 탐지할 수 있습니다.
3. 원격 DNS 검색 메커니즘의 올바른 사용을 모니터링합니다. 이 기능을 사용하면 DNS 서비스에 대한 가능한 모든 유형의 원격 공격을 식별할 수 있습니다.
4. 전송된 요청을 분석하여 원격 연결 시도의 정확성을 모니터링합니다. 이 기능을 사용하면 첫 번째로 TCP 연결 식별자(ISN)의 초기 값을 변경하는 법칙을 조사하려는 시도, 두 번째로 연결 요청 대기열을 오버플로하여 수행되는 원격 서비스 거부 공격, 세 번째로 직접 공격을 탐지할 수 있습니다. 잘못된 연결 요청(TCP 및 UDP 모두)의 "폭풍"으로 인해 서비스 거부가 발생합니다.
따라서 IP Alert-1 네트워크 보안 모니터를 사용하면 대부분의 원격 공격 유형을 탐지, 통지 및 기록할 수 있습니다. 그러나 이 프로그램은 결코 방화벽 시스템의 경쟁자가 아닙니다. 인터넷상의 원격 공격 기능을 사용하는 IP Alert-1은 방화벽 시스템에 필요한 추가 기능을 제공합니다. 그런데 비교할 수 없을 정도로 저렴합니다. 보안 모니터가 없으면 네트워크 세그먼트에 대한 원격 공격을 시작하려는 대부분의 시도는 눈에 띄지 않게 됩니다. 알려진 방화벽 중 어느 것도 다양한 유형의 원격 공격을 식별하기 위해 네트워크를 통과하는 메시지를 지능적으로 분석하는 기능을 수행하지 않으며 기껏해야 비밀번호 추측 시도, 포트 검색 및 네트워크 검색에 대한 정보를 기록하는 로그를 유지하는 것으로 제한됩니다. 잘 알려진 원격 검색 프로그램을 사용하여. 따라서 IP 네트워크 관리자가 네트워크에 대한 원격 공격 중에 무관심을 유지하고 단순한 통계 전문가의 역할에 만족하고 싶지 않다면 IP Alert-1 네트워크 보안 모니터를 사용하는 것이 좋습니다.
tcpdump
거의 모든 네트워크 트래픽 수집을 위한 주요 도구는 tcpdump입니다. 거의 모든 Unix 계열 운영 체제에 설치되는 오픈 소스 애플리케이션입니다. Tcpdump는 뛰어난 데이터 수집 도구이며 매우 강력한 필터링 엔진과 함께 제공됩니다. 분석을 위해 관리 가능한 데이터를 만들기 위해 수집 중에 데이터를 필터링하는 방법을 아는 것이 중요합니다. 네트워크 사용량이 중간 정도인 경우에도 네트워크 장치에서 모든 데이터를 캡처하면 간단한 분석을 하기에는 너무 많은 데이터가 생성될 수 있습니다.
드문 경우지만 tcpdump는 출력을 화면에 직접 출력할 수 있으며, 이는 원하는 것을 찾는 데 충분할 수 있습니다. 예를 들어 기사를 작성하는 동안 일부 트래픽이 캡처되어 해당 컴퓨터가 알 수 없는 IP 주소로 트래픽을 보내는 것으로 나타났습니다. 기기가 Google IP 주소 172.217.11.142로 데이터를 전송하고 있었던 것으로 나타났습니다. Google 제품이 출시되지 않았으므로 왜 이런 일이 발생했는지에 대한 의문이 생겼습니다.
시스템 점검 결과 다음이 나타났습니다.
[ ~ ]$ ps -ef | 구글을 grep귀하의 의견을 남겨주세요!
