네트워크 흐름 분석

서론
네트워크 관리와 네트워크 매니지먼트
네트워크 관리 툴
MRTG, Cricket, Cacti
RTG
Nagios와 Big Brother
CiscoWorks와 OpenView
해결책은 무엇인가?
이 책을 읽기 위해 갖추어야 할 사전 지식
이 책에서 배울 내용
역자서문

1장 흐름 기초
1.1 흐름이 무엇인가?

1.2 흐름 시스템 아키텍처

1.3 네트워크 흐름의 역사
1.3.1 넷플로우 버전
1.3.1.1 넷플로우 버전 1
1.3.1.2 넷플로우 버전 5
1.3.1.3넷플로우 버전 7
1.3.1.4 넷플로우 버전 8
1.3.1.5 넷플로우 버전 9
1.3.2 넷플로우 경쟁
1.3.3 최신 표준

1.4 실제 세계에서 흐름
1.4.1 ICMP 흐름
1.4.2 UDP 흐름
1.4.3 TCP 흐름
1.4.4 다른 프로토콜들

1.5 흐름 내보내기와 타임아웃

1.6 흐름의 패킷 샘플링

2장 콜렉터와 센서
2.1 콜렉터 고려사항
2.1.1 운영체제
2.1.2 시스템 자원

2.2 센서 고려사항
2.2.1 위치
2.2.1.1 인터넷 보더
2.2.1.2 이더넷 코어
2.2.2 원격 시설
2.2.3 사설 네트워크 세그먼트와 DMZ

2.3 콜렉터 구현

2.4 flow-tools 설치
2.4.1 패키지에서 설치
2.4.2 소스에서 설치

2.5 flow-capture 실행

2.6 부팅 시 flow-capture 시작

2.7 콜렉터의 개수

2.8 콜렉터 로그 파일

2.9 콜렉터 트러블슈팅
2.9.1 하드웨어 흐름 센서 설정
2.9.2 시스코 라우터
2.9.3 시스코 스위치

2.10 주니퍼 라우터
2.10.1 소프트웨어 흐름 센서 설정
2.10.2 센서 서버 하드웨어 셋업
2.10.3 네트워크 셋업
2.10.4 센서 서버 셋업
2.10.5 콜렉터에서 센서 실행

2.11 센서: softflowd
2.11.1 softflowd 실행
2.11.2 softflowd 보기
2.11.2.1 추적된 흐름 보기
2.11.2.2 흐름 통계 보기

3장 흐름 보기
3.1 flow-print 사용
3.1.1 프로토콜 이름과 포트 이름 출력
3.1.2 공통 프로토콜과 포트 번호 할당
3.1.3 흐름 레코드 헤더 정보 보기: -p 플래그
3.1.4 와이드 터미널에 출력

3.2 flow-print 형식 설정: -f 플래그
3.2.1 -f 0 형식: 인터페이스와 포트를 16진수로 보기
3.2.2 -f 1 형식: 시간, 플래그, 16진수 포트가 있는 2라인
3.2.3 BGP 정보 출력
3.2.4 와이드 스크린 표시
3.2.5 IP 어카운팅 형식

3.3 TCP 제어 비트와 흐름 레코드

3.4 ICMP 타입 및 코드와 흐름 레코드
3.4.1 ICMP 타입과 코드
3.4.2 흐름과 ICMP 세부 사항

4장 흐름 필터링
4.1 필터 기초
4.1.1 공통 원형
4.1.2 조건과 원형으로 간단한 필터 만들기
4.1.3 필터 사용

4.2 유용한 원형들
4.2.1 프로토콜 원형, 포트 원형, 제어 비트 원형
4.2.1.1 IP 프로토콜 원형
4.2.1.2 포트 번호 원형
4.2.1.3 TCP 제어 비트 원형
4.2.1.4 ICMP 타입 원형과 ICMP 코드 원형
4.2.2 IP 주소 원형과 서브넷 원형
4.2.2.1 IP 주소
4.2.2.2 서브넷 원형
4.2.3 시간 원형, 카운터 원형, 더블 원형
4.2.3.1 원형의 비교 연산자
4.2.3.2 시간 원형
4.2.3.3 카운터 원형
4.2.3.4 더블 원형
4.2.4 인터페이스 원형과 BGP 원형
4.2.4.1 SNMP를 사용해서 인터페이스 번호 파악
4.2.4.2 인터페이스 번호 원형
4.2.4.3 AS 원형

4.3 필터 일치문
4.3.1 프로토콜, 포트, 제어 비트
4.3.1.1 네트워크 프로토콜 필터
4.3.1.2 출발지 포트 필터와 목적지 포트 필터
4.3.1.3 TCP 제어 비트 필터
4.3.1.4 ICMP 타입과 코드 필터
4.3.2 주소와 서브넷
4.3.3 센서나 익스포터에 의한 필터링
4.3.4 시간 필터
4.3.5 클리핑 레벨
4.3.5.1 옥텟 필터, 패킷 필터, 지속 시간 필터
4.3.5.2 pps 필터와 bps 필터
4.3.6 BGP 필터와 라우팅 필터
4.3.6.1 AS 번호 필터
4.3.6.2 넥스트 홉 주소 필터
4.3.6.3 인터페이스 필터

4.4 다수의 필터 사용

4.5 필터 정의의 논리적 연산자
4.5.1 논리적 or 연산자
4.5.2 필터 도치

4.6 필터와 변수
4.6.1 변수로 처리되는 필터 사용
4.6.2 변수로 처리되는 필터 정의
4.6.3 변수 생성

5장 보고서 생성 및 분석
5.1 기본 보고서
5.1.1 타이밍과 합계
5.1.2 패킷 크기 분포
5.1.3 흐름당 패킷
5.1.4 각 흐름의 옥텟
5.1.5 흐름 시간 분포

5.2 기본 보고서 수정
5.2.1 변수 사용: TYPE
5.2.2 변수 사용: SORT

5.3 보고서에서 개별 흐름 분석

5.4 보고서 사용자 정의
5.4.1 필드 선택
5.4.2 헤더, 호스트명, 백분율 표시
5.4.3 보고서를 HTML로 제시

5.5 유용한 보고서 종류
5.5.1 IP 주소 보고서
5.5.1.1 가장 많은 데이터 교환: ip-address
5.5.1.2 수신자별 흐름: ip-destination-address
5.5.1.3 연결이 가장 많이 일어난 출발지: ip-source-address-destination-count
5.5.1.4 연결이 가장 많이 일어난 목적지: ip-destination-address-source-count
5.5.2 네트워크 프로토콜 보고서와 포트 보고서
5.5.2.1 사용된 포트: ip-port
5.5.2.2 흐름의 최초 출발지: ip-source-port
5.5.2.3 흐름 종료: ip-destination-port
5.5.2.4 개별 연결: ip-source/destination-port
5.5.2.5 네트워크 프로토콜: ip-protocol
5.5.3 트래픽 크기 보고서
5.5.3.1 패킷 크기: packet-size
5.5.3.2 흐름당 바이트: octets
5.5.3.3 흐름당 패킷: packets
5.5.4 트래픽 속도 보고서
5.5.4.1 패킷 세기: pps
5.5.4.2 특정 시간의 트래픽: linear-interpolated-flows-octets-packets
5.5.5 라우팅, 인터페이스, 넥스트 홉
5.5.5.1 인터페이스와 흐름 데이터
5.5.5.2 첫 번째 인터페이스: input-interface
5.5.5.3 마지막 인터페이스: output-interface
5.5.5.4 처리량 메트릭스: input/output-interface
5.5.5.5 넥스트 주소: ip-next-hop-address
5.5.5.6 트래픽의 출처: ip-source-address/output-interface
5.5.5.7 트래픽의 행선지: ip-destination-address/input-interface
5.5.5.8 다른 주소와 인터페이스 보고서
5.5.6 센서 출력 보고서
5.5.7 BGP 보고서
5.5.7.1 AS 정보 사용
5.5.7.2 트래픽의 시작 네트워크: source-as
5.5.7.3 목적지 네트워크: destination-as
5.5.7.4 BGP 보고서와 사용하기 편한 이름

5.6 보고서 사용자 정의
5.6.1 사용자 정의 보고서: 리셋만 있는 흐름
5.6.1.1 보고서 형식과 출력
5.6.1.2 칼럼 제거
5.6.1.3 보고서에 필터 적용
5.6.1.4 stat-report와 stat-definition 결합
5.6.2 다른 보고서 사용자 정의
5.6.2.1 샘플링 규모 조정
5.6.2.2 stat-report 문의 필터
5.6.2.3 BGP 라우팅별로 보고
5.6.3 보고서 외양 사용자 정의
5.6.3.1 flow-rptfmt 옵션
5.6.3.2 CSV를 파일로 보내기
5.6.3.3 직접 출력에 시간 사용
5.6.3.4 정렬 순서 지정
5.6.3.5 결과 자르기
5.6.3.6 다른 출력 옵션
5.6.3.7 설정 대체 파일

6장 Perl, FlowScan, Cflow.pm
6.1 Cflow.pm 설치
6.1.1 Cflow.pm 테스트
6.1.2 운영체제 패키지에서 설치
6.1.3 소스에서 설치
6.1.4 소스에서 설치 실패 시 해결 방안

6.2 flowdumper와 전체 흐름 정보

6.3 FlowScan과 CUFlow

6.4 FlowScan 선수 조건

6.5 FlowScan과 CUFlow 설치
6.5.1 FlowScan 사용자, 그룹, 데이터 디렉토리
6.5.2 FlowSacn 스타트업 스크립트
6.5.3 FlowScan 설정
6.5.4 CUFlow 설정: CUFlow.cf
6.5.4.1 Subnet 문
6.5.4.2 Network 문
6.5.4.3 OutputDir 문
6.5.4.4 Scoreboard 문
6.5.4.5 AggregateScore 문
6.5.4.6 Router 문
6.5.4.7 Service 문
6.5.4.8 Protocol 문
6.5.4.9 AS 문
6.5.5 로테이션 프로그램과 flow-capture
6.5.6 FlowScan 실행
6.5.7 FlowScan 파일 처리
6.5.8 CUFlow 그래프 표시

6.6 흐름 레코드 나누기와 CUFlow
6.6.1 흐름 나누기
6.6.2 흐름 레코드 나누기 스크립팅
6.6.3 필터링된 CUFlow와 디렉토리 셋업

6.7 Cflow.pm 사용
6.7.1 Cflow.pm 스크립트 샘플
6.7.2 Cflow.pm 변수
6.7.3 Cflow.pm 내보내기
6.7.4 모든 파일에 작용
6.7.5 반환 값
6.7.6 Verbose 모드

7장 FlowViewer
7.1 FlowTracker 및 FlowGrapher 대 CUFlow

7.2 FlowViewer 보안

7.3 FlowViewer 설치
7.3.1 선수 조건
7.3.2 FlowViewer 설치 과정

7.4 FlowViewer 설정
7.4.1 디렉토리와 사이트 경로
7.4.2 웹 사이트 셋업
7.4.3 디바이스와 익스포터
7.4.3.1 센서당 한 개의 콜렉터
7.4.3.2 모든 센서에 하나의 콜렉터
7.4.4 FlowViewer 스위트 트러블슈팅

7.5 FlowViewer 사용
7.5.1 흐름 필터링: FlowViewer 이용
7.5.1.1 Device 필드
7.5.1.2 Next Hop IP 필드
7.5.1.3 Start Date 필드, End Date 필드, Start Time 필드, End Time 필드
7.5.1.4 TOS Field 필드, TCP Flag 필드, Protocol 필드
7.5.1.5 Source IP 필드와 Dest IP 필드
7.5.1.6 Source Interface 필드와 Dest Interface 필드
7.5.1.7 Source Port 필드, Dest Port 필드, Source AS 필드, Dest AS 필드
7.5.2 리포팅 매개변수
7.5.2.1 Include Flow If 필드
7.5.2.2 Sort Field 필드, Resolve Addresses 필드, Oct Conv 필드, Sampling Multip. 필드
7.5.2.3 파이 차트
7.5.2.4 잘라내기
7.5.3 출력 보고서
7.5.4 통계 보고서

7.6 FlowGrapher
7.6.1 FlowGrapher 셋팅
7.6.1.1 Detail Lines 필드
7.6.1.2 Graph Width 필드
7.6.1.3 Sample Time 필드
7.6.1.4 Graph Type 필드
7.6.2 FlowGrapher 출력

7.7 FlowTracker
7.7.1 FlowTracker 프로세스
7.7.2 FlowTracker 설정 값
7.7.2.1 Tracking Set Label 필드
7.7.2.2 Tracking Type 필드
7.7.2.3 Sampling Multiplier 필드
7.7.2.4 Alert Threshold 필드
7.7.2.5 Alert Frequency 필드
7.7.2.6 Alert Destination 필드
7.7.2.7 General Comment 필드
7.7.3 트래커 보기
7.7.4 그룹 트래커

7.8 인터페이스 이름과 FlowViewer

8장 특별한 흐름 시각화
8.1 gnuplot 101
8.1.1 gnuplot 시작
8.1.2 gnuplot 설정 파일

8.2 시계열 예: 대역폭
8.2.1 총 대역폭 보고서
8.2.1.1 흐름 필터링: 총 트래픽 얻기
8.2.1.2 타깃 그래프
8.2.1.3 첫 번째 그래프
8.2.1.4 그래프 표시 방법 변경
8.2.1.5 클리핑 레벨
8.2.1.6 그래프를 파일로 출력
8.2.1.7 작업 내용 저장
8.2.2 단방향 대역폭 보고서
8.2.2.1 흐름 필터링: 단방향 트래픽
8.2.2.2 단방향 그래프 생성
8.2.3 인바운드 트래픽과 아웃바운드 트래픽 결합
8.2.3.1 데이터 파일 준비
8.2.3.2 두 그래프를 동시에 표시

8.3 그래프 생성 자동화

8.4 그래프 비교
8.4.1 데이터 정규화
8.4.2 시간 척도

9장 기타 툴 및 흐름 분석 활용
9.1 넷플로우 v9
9.1.1 flowd 설치
9.1.2 flowd 설정
9.1.3 flowd 데이터를 flow-tools 형식으로 변환

9.2 sFlow
9.2.1 sFlow 내보내기 설정: sflowenable 활용
9.2.2 sFlow를 넷플로우로 변환

9.3 흐름 데이터를 이용해서 문제 해결
9.3.1 문제를 일으키는 소프트웨어 찾기
9.3.1.1 끊어진 연결 필터
9.3.1.2 리셋 점검
9.3.1.3 오류가 발생한 연결 점검
9.3.2 웜 식별
9.3.3 정상적이지 않은 주소로 가는 트래픽
9.3.4 존재하지 않는 호스트로 가는 트래픽

9.4 저자 후기

찾아보기