2011년 5월 10일 화요일

유닉스에서 비주얼 하게 네트워크 흐름을 모니터링 해보자

유닉스 기반의 환경에서 그래픽적으로 이쁘게 볼 수 있는 네트워크 모니터링인 EtherApe 를 소개해 볼까 한다. EtherApe 는 와이어샤크와는 용도가 조금 다르다. 와이어샤크와 같이 프로토콜 별로 세부적인 분석을 수행하기 보다는 전체적인 네트워크 흐름을 비주얼하게 볼 수 있는 것으로 생각하면 된다. 예를 들면, 호스트와의 링크 연결이 트래픽 크기만큼 보여준다준지 아래 그림과 같이 한눈에 흐름을 시간에 따라 보여주기도 한다.


설치는  아래 경로에서 바이너리를 다운로드 받거나 또는 소스코드를 받을 수 있다.

http://etherape.sourceforge.net/download.shtml

APT 패키지 사용자라면 " apt-get install etherape" 와 같이 쉽게 설치할 수 있다. 화면 구성은 위 그림과 같이 간단하다. 왼쪽에 탐지된 프로토콜 종류가 나오고 오른쪽에는 비주얼하게 역동적으로 화면이 움직인다. 라이브로 바로 인터페이스의 흐름을 보여주거나 또는 PCAP 파일을 열어서도 볼 수 있다. 각 노드를 선택하면 프로토콜 같은 정보를 볼 수도 있다. 아래 화면은 프로토콜 구성을 살펴본 것이다.


색상별로 프로토콜이 나뉘어져 있어 쉽게 눈에 들어온다. 비주얼 하게 표시해 주는 것이 네트워크 흐름을 읽어 들이면서 비주얼하게 계속 보여주는 것이므로, 어느 시점에 갑자기 트래픽이 크게 증가하는 형태와 같은 것에서는 텍스트 형태로 보는 것보다는 시각적으로 쉽게 파악할 수 있다.  또, 보고서 용도로 화면 일부를 사용해도 좋을것 같다. 아무래도 와이어샤크에서는 EtherApe 보다는 시각적으로 더 좋지는 않기 때문에 유용할 것이다.

사용한 PCAP 파일은 패킷 덤프를 뜨면서 IP 주소는 랜덤하게 생성하고, TCP, UDP 포트는 고정시켰다. 이런 사용방법은 여기서 tcpdpriv 를 찾아보면 사용방법을 찾아볼 수 있다.

오픈소스의 여러 다양한 네트워크 분석도구가 입맛을 딱 맞춰줄 수는 없지만, 한 도두가 아닌 다양한 여러가지 도구를 이용하면 상용분석 도구 이상으로 효과적인 분석이 가능하다는 점만은 잊지 말자.

댓글 없음:

댓글 쓰기