이더리얼로 패킷 분석

Posted by 잿빛푸우 greypoooh@daum.net
2008.04.15 13:50 IT 정보&리뷰
패킷 분석기는 네트워크 구축이나 운영시 발생하는 문제를 해결하기 위한 필수 요소다. 때문에 네트워크 관리자라면 누구라도 패킷 분석기의 세상에 한번쯤은 빠져들어야 한다.
패킷 분석기는 스니퍼와 같은 고가의 상용 제품도 있지만 이더리얼과 깉이 누구라도 쉽게 무료로 사용할 수 있는 공개용 솔루션도 있다.


이번호에는 국내뿐 아니라 해외에서도 네트워크 관리자라?보편적으로 많이 사용하고 있는 이더리얼의 주요 기능과 활용법에 대해 소개한다.

최성열| 파이오링크 기술지원센터장

 한국의 큰 명절인 지난 추석에 필자는 중요한 일 때문에 가족들과 떨어져 일본에서 보내야만 했다. 신규로 구성하는 네트워크에서 문제가 발생해 일본의 파트너들과 함께 일을 했다. 그곳에서 발생한 문제는 이더넷 패킷이 일부 변경되거나 패킷이 가끔 손실되는 현상이었다. 어떻게 해서든 문제를 찾아야 하는 상황이라 파이어월, 2, 3, 4계층 스위치 등 어느 구간에서 문제가 발생하는지를 찾기 위해 여러 명의 엔지니어들과 함께 일했다.

보통 패킷을 분석할 때는 예상되는 구간에 한 대 정도만 분석기를 설치하고 수집된 데이터를 기반으로 분석을 하는데, 이번에는 어떤 장비도 믿을 수가 없었기에 각 구간마다 분석기를 설치했다. 덕분에 당시 설치했던 패킷 분석기만 13대였다(사실 필자가 문제 해결을 위해 이렇게 많은 장비를 사용하기는 처음이었다). 이때 사용한 프로그램으로는 상용으로 가장 많이 사용되는 스니퍼(Sniffer)와 공개용으로 많이 사용되는 이더리얼(Ethereal)이었다.

대부분의 엔지니어들의 노트북에는 이 두 개의 프로그램이 탑재돼 있을 것이며, 어떤 시스템을 사용하는가는 그 구간을 담당하는 엔지니어가 익숙한 정도에 달려 있다.

패킷 분석기의 역할과 중요성

며칠 동안 필자가 뚫어지라 바라보았던 이더리얼과 스니퍼를 우리는 패킷 분석기(Packet Analyzer)라고 부른다. 이들 솔루션은 연결된 네트워크에 지나가는 패킷들을 하나도 빠짐없이 모두 그 형태에 맞게 나열해주고 일부 필요한 것들은 통계로 알려준다.

이 같은 패킷 분석기의 사용은 문제를 해결할 때 뿐만이 아니라 여러분들이 책으로만 봐왔던 네트워크 프로토콜의 실제 동작을 직접 확인하는 용도로 사용할 수도 있으며, 필요에 따라서는 책으로 소개되지 않은 애플리케이션(P2P, 바이러스, 메신저)에 대해서도 쉽게 파악하는 용도로 사용할 수도 있다. 


패킷 분석기는 (그림 1)처럼 확인하고자 하는 구간에 설치해 패킷들을 캡처하고, 관리자를 이를 기반으로 문제를 분석할 수 있도록 한다.

일반적으로 컴퓨터에서 어떤 통신이 안될 경우에는 해당 컴퓨터에 이더리얼을 설치하거나, 해당 컴퓨터가 설치된 같은 네트워크에 연결해 문제가 있는 컴퓨터와 동일한 동작을 해 볼 수도 있다. (그림 1)에서 무언가를 자세하게 들여보는 듯한 '돋보기’그림이 패킷 분석기라는 툴의 특징을 가장 잘 나타내준다고 할 수 있다.



(화면 1) 이더리얼 실행 화면

이더리얼과 같은 패킷 분석기의 값어치는 여러분들이 어떻게 사용하느냐에 따라서 하늘과 땅 차이가 난다. (화면 1)의 이더리얼 실행 화면에서 볼 수 있듯이 짧은 순간에도 상당히 많은 패킷들을 수집하므로 툴에서 제공하는 여러 기능을 적절히 이용할 줄 아는 지혜를 가져야 한다. 그렇지 않으면 짧은 내용의 패킷 분석을 위해서 너무 많은 시간을 들여야 할지도 모른다.

보통 이더리얼을 처음 접한 사람들은 모두들 큰 그림의 패킷 하나하나를 제일 깊은 단계로 생각을 한다. 하지만 패킷 분석기의 가장 중요한 특징은 바로 패킷 하나를 세부적인 단계로 나눠볼 수 있다는 점이다. (화면 1)을 보고 여러분들이 이미 알아차렸을 수도 있지만 대부분의 툴은 패킷 하나하나의 세부 구조와 정보를 우리가 알기 쉽게 번역해 주고 있다.



(화면 2) 웹에서 GET을 보낼 때의 패킷 세부 내용

그동안 필자의 연재를 지속적으로 보아온 독자라면 (화면 2)를 조금만 살펴봐도 별 어려움 없이 내용을 이해할 수 있을 것이다. (화면 2)는 여러 패킷도 아니고 단 하나의 패킷이다.
앞에서 설명했지만 패킷의 리스트(List)를 주욱 살펴봐서 어떤 패킷이 오는지 혹은 오지 않는지를 따지는 것은 아주 기본적인 사항이며, 나아가서는 이렇게 패킷 하나하나를 살펴서 어떤 정보들을 주고받았는지도 살펴야 한다(아마 시간이 지나면 여러분들도 그렇게 될 수 밖에 없다. 왜냐하면 때로는 패킷은 다 왔는데도 통신이 안 되는 경우가 있기 때문이다).

이더리얼 구하기와 설치하기


이더리얼은 공개용이므로 홈페이지(www.ethereal.com)에 가면 누구라도 손쉽게 구할 수가 있으며 설치 또한 간단하다. 하지만 주의할 점은 이더리얼 설치 전에 컴퓨터의 LAN 카드로 들어오는 패킷들을 이더리얼로 수집해 주는 Winpcap(www.winpcap.org)을 먼저 설치해야 한다. 이 프로그램이 없으면 이더리얼은 무용지물이다.

현재 제공되는 이더리얼의 버전은 0.10.12 버전이다. 맨 앞이 1이 아닌 0이어서 불안해 할 수도 있지만 이미 여러 차례 패치가 됐고 많은 사람들이 사용하고 있으므로 실무에 사용해도 전혀 손색이 없다(사실 상용 버전보다는 디자인 측면에서 많이 부족하지만 요즘 나온 버전에는 버튼에 아이콘들도 추가해서 제법 틀을 갖춰가고 있다).  

<이더리얼의 탄생 과정>
이더리얼은 리눅스 계열에서 사용한 패킷 덤프(dump) 프로그램인 'tcpdump'라는 툴에서 시작됐다. tcpdump는 리눅스에서 시스템에서 처리하는 패킷을 다양한 옵션으로 볼 수 있는 명령어이고, 지금도 리눅스 애호가로부터 많이 사용되고 있는 명령어다. 이더리얼은 리눅스에서도 비슷한 화면구조로 돼 있는 GUI 프로그램이며, 필자가 설명하고 있는 것은 이것을 윈도우에서 사용할 수 있도록 돼 있는 프로그램이다. 이더리얼 홈페이지를 자세히 살펴보면 깜짝 놀랄 세 가지 일이 있다.

첫번째는 현재 이더리얼은 719개의 다양한 프로토콜을 지원한다는 점이다. 이 세상에 얼마나 많은 프로토콜이 존재하는지는 필자도 잘 모르지만, 실무에서 사용하고 있는 프로토콜 대부분은 아마도 이더리얼이 지원할 것이다(프로토콜이 지원된다는 것은 (화면 2)에서 처럼 해당 프로토콜을 세부적으로 사람이 볼 수 있도록 정리할 수 있다는 의미다).

두번째로는 정말 다양한 플랫폼에서 동작한다는 점이다. 리눅스(레드햇, SuSE, 데비안, PLD, ROCK, SCO, 슬랙웨어), 솔라리스(인텔, 썬), Irix, FreeBSD, OpenBSD, AIX, HP-UX, 맥킨토시 등 다양한 플랫폼에서 동작한다. 아마 어떤 상용 툴도 이렇게 다양한 플랫폼은 지원하지 못할 것이다.

그리고 마지막 특징으로는 NAI의 스니퍼, 썬의 Snoop, 쇼미티의 Surveyor, AIX의 iptrace, 마이크로소프트의 Network Monitor, HP-UX의 nettl, 와일드패킷의 Etherpeak 등 여러 상용 패킷 분석기에서 캡처한 것들도 볼 수가 있다는 것이다. 이 같은 놀라운 특징들 때문에 이더리얼의 사용을 강력하게 추천하는 것이다.

필자가 이더리얼을 사용하는 법

스니퍼 사용시 캡처를 할 때 필터(Filter)를 사용하고, 캡처가 끝난 후에 필요에 따라서 캡처된 데이터에서 필터를 사용하는 방법을 사용했었다. 반면 이더리얼의 특징 중 하나가 캡처하는 화면을 실시간으로 보는 것은 기본이고, 필요에 따라서는 캡처하면서도 각종 옵션으로 화면에 나타나는 것들을 조절, 분석하는 데 많은 도움을 줄 수가 있다는 점이다. (화면 3)은 이더리얼에서 캡처를 시작할 때 화면이다.



(화면 3) 캡처를 시작할 때의 다양한 옵션 

이더리얼을 비롯한 대부분의 패킷 분석기는 캡처 시작 전에 몇 가지 기본적인 설정을 하고나서 시작한다. 여러분들이 처음 이더리얼을 구동했다면 제일 먼저 어떤 인터페이스에서 구동할 것인가를 결정해야 한다. 많은 사람들이 이 선택을 잘못하고 캡처를 시작하면서 되려 이더리얼이 몹쓸 툴이라고 흉보는 경우가 많다.

필자는 그동안 많은 시간을 투자해 실시간으로 캡처하면서 보는 습관을 들였다. 이 방법이 분석에 많은 도움이 돼 이제는 'Display Options'에 있는 두가지 옵션(화면 3에서 선택된)을 대부분 기본으로 사용한다. 이 옵션을 사용하면 실시간으로 캡처된 리스트들이 자동으로 업데이트되고, 리스트를 보여주는 스크롤이 자동으로 올라가 최근 패킷만 볼 수가 있다. 때문에 실시간으로 패킷을 보고 싶은 필자에게는 아주 유용하다.

(화면 3) 중 'Name Resolution'이라는 부분은 화면에 보여지는 MAC, IP, TCP/UDP 포트 등을 연관된 이름들로 확인해 보여주는 옵션이다. 예를 들면 MAC은 앞에 있는 3바이트가 제조사 MAC이기 때문에 이를 검색해 보여주고, IP에 해당하는 컴퓨터 이름(DNS 이름), TCP/UDP에 해당하는 프로토콜 이름(TCP 80 → HTTP)으로 보여준다.

하지만 이 옵션은 유용하면서도 실시간으로 많은 패킷들을 받아서 보여줘야 하는 프로그램 입장에서는 많은 부하를 줄 수 있다. 그러니 수십 Mbps 이상을 캡처할 때는 가급적 이들 옵션은 사용하지 않는 것이 낫다(하지만 실제로는 여러분이 직접 경험하고 느껴본 후에 어떤 것이 효율적일지 나만의 옵션을 찾는 게 중요하다).

만약 실시간으로 패킷을 볼 게 아니라 필요에 따라서 캡처했다가 나중에 분석할 계획이라면 파일로 저장하는 옵션을 선택하자. 네트워크에 발생하는 문제들은 이번에 필자가 일본에서 겪었던 것처럼 언제 어느때 발생할지 모르는 경우가 있기 때문에 그것 때문에 실시간으로 패킷을 계속 보고 있는 것이 때로는 바보같은 일이기 때문이다.

이 경우에는 패킷을 일정한 사이즈, 시간마다 자동으로 저장해 나중에 분석이 필요할 때 어느 파일부터 선택해서 분석해야 하는지에 도움이 될 수 있다. 그렇다고 내 컴퓨터의 하드디스크가 크다고 무조건 수 기가바이트로 남기는 것은 나중에 분석을 안하겠다고 하는 것과 마찬가지다. 더구나 윈도우도 그렇게 큰 크기는 읽지 못할뿐더러 수백 메가바이트나 되는 데이터를 프로그램에서 띄운다는 것은 절대 불가하다.

캡처 필터/화면 필터 잘 쓰는 사람이 고수

이더리얼의 고수는 바로 필터를 자유자재로 사용하는 사람이다. 우선 캡처 필터는 리눅스에서 tcpdump를 한번이라도 써 봤던 사람이라면 이해할 만한 문법으로 돼 있다. 처음에는 어려워 보이지만 조금만 이해하면 패킷의 다양한 옵션까지도 선택할 수가 있다.

캡처 필터는 수동으로 입력하는 게 기본인데, 잘 모르겠다면 (화면 3)에 있는 캡처 필터 부분을 클릭해 보면 기본 예제를 볼 수 있다. 물론 'Help'를 누르면 추가 예제 몇 개가 더 나올 것이다. 여기서 중요한 것은 단지 필터 한 개를 잘 사용하는 것이 아니라는 점이다. and, or, not 등의 다양한 연산을 잘 사용하는 것이 제일 중요하다. 다음은 이더리얼에 있는 예제들이다.

(1) 08:00:08:15:ca:fe 라는 MAC을 가진 호스트에서 사용하는 패킷만 캡처
ether host 08:00:08:15:ca:fe

(2) 192.168.0.10라는 IP 주소에서 오는 패킷이나 그쪽으로 향하는 패킷 캡처
host 192.168.0.10

(3) TCP 프로토콜 중 포트 80을 사용하는 패킷 캡처
tcp port 80

(4) IP 주소가 192.168.0.10이면서 TCP 포트 80을 사용하지 않는 패킷 캡처
host 192.168.0.10 and not tcp port 80

위의 예 뿐만이 아니라 arp, 출발지(src), 목적지(dst), 서브넷 기준으로도 구분이 가능하고 패킷사이즈에 따른 캡처도 가능하다. 이를 가장 잘 익힐 수 있는 방법은 메뉴얼을 읽거나 tcpdump 옵션을 찾아보는 것이다.

<not 사용을 습관적으로>
필터를 사용할 때 종종 사용하게 될 옵션 중 하나가 바로 'not'이다. 이 옵션은 말 그대도 어떤 특정 패킷들은 너무도 당연해서 볼 필요가 없을 경우에 이들을 제외한 나머지를 보고자 할 때 사용하는 옵션이다.

다음은 icmp를 이용한 웜인 웰치아(Welchia)가 한창 유행일 때 사용했던 옵션이다.
이 패킷의 특징은 icmp를 사용하는 핑(ping)을 이용해 불특정 네트워크를 검색하느라 라우터, 파이어월과 같은 IP 처리 장비들이 제대로 서비스를 못하는 문제를 야기시켰다. 하지만 이 패킷은‘92바이트'라는 패킷 사이즈를 가지는 게 특징이었으므로 단순히 icmp를 네트워크에서 분리할 경우에는 어떤 호스트에 문제가 있는지를 찾기는 쉽지 않았다.
하지만 툴을 제대로 사용할 줄 아는 사람이라면 다음과 같은 방법을 쓰면 어렵지 않게 구분해 낼 수가 있다.



(화면 4) 필터 4. icmp and ip[2:2] = 92

(화면 4)의 옵션인 'icmp and ip[2:2] = 92'를 살펴보자. 무슨 암호문자 같기도 하지만 해석해 보면 그리 어렵지는 않다. 우선 icmp이면서 ip[2:2] = 92라고 했다. ip는 ip인데 뒤에 [2:2]라는 이상한 옵션이 추가됐다.
여기서 앞에 숫자 2는 바이트 단위로, IP 헤더 중에 2바이트인 16비트 뒷부분을 가리킨다. 그리고 뒤에 숫자 2는 거기부터 다시 16비트이다. 바로 그 값이 92인 것을 가리킨다.
물론 한번에 이해하기가 쉽지는 않을 것이다. 사실 필자도 처음 이 옵션을 찾아냈을 때 한참을 해매야만 했다.



(그림 2)는 IP 헤더의 구조다.
이제 앞에서 설명한 2:2의 비밀을 파헤쳐 보자. (그림 2)에서는 32비트 단위로 구분을 했고 그중에 헤더의 16비트, 즉 2바이트 뒤가 바로 패킷의 길이를 나타내는 부분이다. 그리고 길이를 나타내는 필드는 전체 16비트, 즉 2바이트 안에 표기하게 돼 있다. 그 길이가 92인 값을 찾아달라는 것이다. 이제 이해가 좀 될 것이다. 아직도 이해가 안된다면 지난 3월호에 연재했던 IP 헤더에 대해 다시 한번 공부하자.

실시간으로 패킷을 볼 때면 리스트가 너무 빨리 지나가기 때문에 사실 이더리얼에 능숙한 사람이라도 보고 싶은 부분만을 잡아내기란 쉽지 않다. 그래서 이더리얼은 실시간 패킷을 볼 때 바로바로 필터를 적용할 수 있는 방법을 제공한다. 이 필터의 장점은 캡처 필터에서 사용된 옵션대로 필터는 하고 있지만, 화면에 보이는 부분만 다시 필터를 사용할 수가 있다는 것이다.
그렇기 때문에 다시 화면 필터를 제거하면 캡처 필터에서 사용했던 필터대로 나타나게 된다. 가장 중요한 것은 실시간 작업을 할 수가 있다는 점이다. 그런데 이 필터 옵션은 캡처 옵션과는 조금 다른 형태를 갖고 있으므로 여러분들이 조금만 신경 쓰면 어렵지 않게 좋은 결과를 얻을 수가 있다.



(화면 5) ICMP/TCP 등이 혼재돼 있는 캡처

(화면 5)처럼 몇가지 필터를 사용해 캡처를 시작했는데 캡처 중에 icmp만 보고 싶다면 캡처를 정지할 필요가 없다. 그냥 화면 필터 부분에 (화면 6)과 같이 해주면 된다.



(화면 6) 실시간 캡처 중 다시 icmp만 화면 필터 적용

(화면 6)은 icmp만을 다시 보기 위해서 적용한 화면 필터로, 필요한 부분을 봤다면 삭제하거나 'Clear'라고 하면 원래의 필터대로 보이게 하는 옵션이다.
실시간으로 되는 것도 제법인데 이 옵션은 아주 마음에 드는 기능 중 하나다.
이 필터를 제대로 쓰고 싶다면 옆에 있는 Expression 메뉴를 클릭해 보자. 필자가 웰치아(Welchia)를 이더리얼로 캡처할 때 사용한 옵션이 화면 필터에서는 (화면 7)과 같이 Expression 옵션에서 사용할 수가 있다.



(화면 7) 화면 필터의 Expression


(화면 8) IP 전체 길이 92바이트 선택

(화면 8)은 Expression의 IP 부분만 선택해서 세부적인 필드 중에 길이(Length) 필드의 값이 92인 것을 선택한 화면이다. 이처럼 여러분들이 프로토콜에 대한 세부지식(헤더구조 등)만 안다면 얼마든지 많은 옵션을 사용해 정말 분석다운 분석을 할 수가 있다.

이번에는 컬러 필터라는 것을 한번 사용해 보자. 컬러 필터는 화면 필터와 같은 옵션이지만 여기에 색(Color)을 겸비해서 사용하는 방법으로 가독성을 한층 올려주는 방법이다. 메뉴의 'Color Rules'를 선택해 필터와 보여지는 색깔을 선택하면 된다. 배경색깔과 각 패킷 리스트의 글씨를 구분할 수 있다.



(화면 9) TCP 패킷들의 색깔만 필터 적용

이 기능은 단순히 화려하게 보이려는 목적보다는 패킷을 조금 더 빨리 분석하기 위한 이더리얼의 배려이니 자신만의 컬러 필터를 만들어 별도로 저장해 보자.

캡처하는 방법에 대한 고민

앞에서 필자가 거짓말을 조금 보태서 이더리얼을 이용하면 많은 것을 할 수 있고 마치 이더리얼을 사용할 줄 알면 패킷 분석의 고수가 될 것 같은 인상을 풍긴 듯 한다. 그런데 사실은 정말 그렇다. 

패킷분석기를 이용해도 별로 소용이 없다라고 말하는 이들 중 대부분은 필자가 아는 한 잘못된 방법이나 위치에서 패킷 분석기를 이용해 캡처를 하는 경우다.
때문에 정작 문제가 발생했을 때 중요한 패킷을 캡처하지 못한 경우가 많다. 사실 이번 출장에서 필자가 문제를 해결할 때도 그런 면이 없지 않았다.
하지만 너무 많은 구간에서의 문제 발생 가능성이 있을 때는 어쩔 수 없기도 하다. 생각해 보라. 패킷 분석을 위해 수십 대의 분석 툴을 설치한다는 것이 쉬운 일인가.
더군다나 캡처는 캡처지만 이후에 이 패킷을 모두 분석해야 하는데, 캡처한 데이터가 수백 기가바이트가 넘어간 시점에서는 정말 암담할 뿐이다. 하지만 조금만 신경쓰면 이 같은 문제들은 조금씩 줄일 수는 있다.

이더리얼을 어디에 연결할까

문제가 생긴 네트워크에 그냥 이더리얼이 설치된 컴퓨터를 연결한다고 해서 모든 패킷이 캡처되는 것은 분명 아니다. 그렇기 때문에 어떻게 연결해야 할까를 이제는 고민해야 한다.

만약 내 컴퓨터만의 문제라면 별 문제없이 내 컴퓨터에서 구동만 하면 되지만 네트워크의 다른 호스트의 문제나 다른 패킷을 분석하려면 모든 패킷이 지나다니는 구간을 선택해야 한다. 가
장 좋은 방법이 스위치에서 업링크 포트를 미러링하는 방법이다. 이 방법을 사용할 경우, 스위치에서 간단한 미러링 설정만 하면 된다.


가끔 어떤 작업자는 미러링 설정을 할 때 특정 패킷(In or Out)만 선택하는 경우가 있는데, 이런 부분을 선택할 때도 신중하게 내가 얻고자 하는 데이터와 관련이 있는가를 고민해야 한다. 특별한 문제가 없다면 In/Out을 모두 선택하는 방법을 추천한다. 참고로 일부 스위치들은 미러링을 받는 포트에 연결된 컴퓨터가 다른 포트와의 통신이 안되는 경우가 있다. 이 경우 패킷 분석기가 설치된 컴퓨터를 원격에서 제어하는 방법도 고민해야 한다. 그래서 가끔 LAN 카드를 하나 더 연결하는 경우도 있다.

그리고 필요에 따라서는 외부와 연결되는 한 포트만 미러링을 해도 되지만 N:1처럼 여러 포트를 미러링해야 할 필요가 있을 수도 있다. 가급적이면 유연한 생각을 갖고 운영할 수 있도록 한다.

가끔씩 미러링이 현실적으로 불가능할 경우에는 탭(Tap)이라는 장비를 사용하는 경우가 있다. 이 장비를 연결되는 두 장비 중간에 연결해 필요한 패킷들을 패킷 분석 툴이 설치된 컴퓨터로 보내줄 수가 있다. 이런 장비들은 요즘 한창 사용되고 있으므로 알아둘 필요가 있다.

탭이나 미러링 장비를 연결할 때 가끔 연결에만 신경을 쓰다가 포트 설정(Speed/Duplex)을 무시하는 경우가 있는데, 이 부분도 신경을 쓰도록 하자. 포트 설정이 잘못될 경우 패킷 분석기와의 통신에서 패킷이 손실될 수가 있기 때문이다. 이 같은 사소한 문제로 거사를 놓칠 수는 없지 않겠는가?

스위치에서 미러링을 하는 이유는 스위치는 허브와 달리 입력되는 패킷이 모든 포트로 전달되지 않기 때문이다(사실 이것이 바로 스위치의 장점이다). 그래서 모든 패킷을 받지 못하기 때문에 미러링을 사용하는 것이다. 그래서 가끔 역으로 입력되는 모든 패킷을 모든 포트로 전달하는 허브를 이용하기도 하는데 개인적으로는 이 방법은 권장하지 않는다. 대량의 트래픽 처리시 아무래도 허브의 성능 부족이나 충돌(Collision) 등으로 인해 분석에 혼란을 야기 할 수도 있기 때문이다.

컴퓨터의 시간을 맞추자

이더리얼을 사용할 때 정말로 신경써야 할 게 한가지가 더 남아 있다. 그것은 바로 컴퓨터의 시간을 맞추는 일이다. 지난호의 시스로그 서버도 그렇지만, 이들이 남기는 시간은 모두 컴퓨터에 맞춰진 시간을 기준으로 한다.

문제가 다시 발생했을 때 분석시 정말 사소한 시간 문제로 고민하지 않으려면 컴퓨터의 시간을 주변의 장비들과 동일하게 맞춰야 한다. 가장 좋은 방법은 NTP(Network Time Protocol)를 사용하는 방법인데, 대부분 관리가 가능한 장비들은 NTP를 지원하므로 윈도우용 NTP 클라이언트를 인터넷에서 찾아 시간을 동기화하자.

혹시라도 이런 작업이 귀찮아서 나중에 분석할 때 시간차를 계산해서 하겠다는 생각은 아예 버려라. 잠깐의 귀찮음이 여러분들의 시간과 실력을 한참 퇴보하게 만들것이다. 패킷분석은 때로는 초 단위 보다 더 세분화해서 하는 경우가 있으니 부디 필자의 조언을 듣기 바란다.

이더리얼은 공개용이지만 정말 추천할 만한 툴이다. 사실 필자도 처음에는 불법(?) 스니퍼를 사용하면서 패킷 분석기를 접해봤지만 지금은 대부분의 경우 이더리얼을 사용한다. 물론 업무용도로 말이다. 매달 쓰는 원고 내용마다 중요하지 않은 것은 없지만, 이번에 소개한 패킷 분석기는 정말로 그 어느것보다도 중요하다는 점을 강조하면서 이번호를 마친다.

신고
이 댓글을 비밀 댓글로
  1. 링크해서 두고두고 볼만 한 멋진 내용이네요. 감사합니다.