보안관제를 위한 필수 지식: 네트워크 트래픽 모니터링

네트워크와 관련된 정보보안 지식 IDC 관제, 네트워크 관제 업무의 필요한 지식을  리눅스 iftop 명령어를 활용하여 알아보도록하겠습니다.먼저 네트워크 트래픽에 대해서 간략히 설명드리겠습니다

 

네트워크 트래픽이란?

네트워크 트래픽은 컴퓨터 네트워크를 통해 전송되는 데이터의 양과 패턴을 의미합니다. 네트워크 트래픽에 포함되는걸 설명드리자면 인터넷, 로컬 네트워크 또는 다른 형태의 데이터 통신을 위해 정보가 주고받아지는 모든 활동을 포함한 것을 네트워크 트래픽이라고 합니다. 네트워크 트래픽은 웹 사이트 방문, 이메일 송수신, 파일 전송, 동영상 스트리밍 등 다양한 활동에 의해 생성됩니다. 이러한 트래픽은 데이터의 크기, 전송 속도, 전송량 등을 통해 측정되며, 네트워크의 성능 및 효율성을 평가하는 데 중요한 지표가 됩니다.

네트워크 트래픽 모니터링의 필요성

1. 네트워크 성능 평가: 트래픽 모니터링을 통해 네트워크의 대역폭 사용률, 지연 시간, 패킷 손실 등을 추적하고 평가할 수 있습니다. 이를 통해 네트워크의 성능을 실시간으로 모니터링하고 병목 현상을 발견하여 성능을 최적화할 수 있습니다.
2. 문제 식별 및 해결: 트래픽 모니터링을 통해 네트워크에서 발생하는 문제를 빠르게 감지하고 식별할 수 있습니다. 예를 들어, 네트워크 침입 시도, 악성 코드 전파 등의 이상 행위를 감지하여 대응할 수 있습니다.
3. 보안 강화: 네트워크 트래픽을 모니터링하여 보안 위협을 탐지하고 예방할 수 있습니다. 악성 트래픽이나 DDoS(분산 서비스 거부) 공격과 같은 공격을 식별하고 대응하는 데 도움이 됩니다.
4. 용량 계획 및 관리: 트래픽 모니터링을 통해 네트워크의 트래픽 패턴과 사용량을 파악할 수 있어 용량 계획을 수립하고 관리할 수 있습니다. 이를 통해 예상치 못한 용량 초과로 인한 성능 저하를 방지할 수 있습니다.
5. 데이터 분석 및 통계: 트래픽 데이터를 분석하면 사용자 동향, 인기 있는 서비스, 특정 시간대의 트래픽 피크 등을 파악할 수 있습니다. 이를 통해 비즈니스 의사 결정에 도움을 줄 수 있습니다.

예를 들어서 여러분은 현재 어떤 서버를 운영하고있어요. 그런데 만약 들어오는 트래픽 limit을 제어하지 않거나, 보안 시스템, 보안 SW, 방화벽 규칙, 네트워크 보안 장비를 사용하지 않는다면? 초등학생이 DDOS 어택을 날리거나 새로고침을 연타함만으로도 서버가 마비되는 현상이 올수도 있어요...! 

 

 자 이제 한번 본격적으로 실습을 하면서 네트워크 트래픽 모니터링을 위한 명령어중 간단한 iftop 패키지를 이용해서 모니터링을 해보겠습니다.!

 

iftop의 설치방법

#centos.rehadt
yum install itop

#debian 계열
apt-get install iftop

iftop의 주요 기능

1. 실시간 대역폭 모니터링

iftop은 실시간으로 네트워크 인터페이스별 대역폭 사용량을 모니터링할 수 있는 기능을 제공합니다. 대역폭 사용량을 한눈에 파악할 수 있으며, 이를 통해 네트워크 병목 현상이나 비정상적인 트래픽 증가를 신속하게 감지할 수 있습니다.

2. 연결별 데이터 송수신량 표시

iftop은 각 연결별로 데이터의 송신량과 수신량을 시각적으로 표시합니다. 이를 통해 어떤 연결이 많은 데이터를 주고받고 있는지, 누가 대역폭을 많이 차지하고 있는지를 파악할 수 있습니다. 이는 네트워크 리소스의 효율적인 분배를 돕는 중요한 정보입니다.

iftop의 표기 의미

iftop을 사용하다보면 화면에 다양한 표기와 숫자들이 나타납니다. 이들은 네트워크 활동을 의미하는 중요한 정보들을 담고 있습니다.

iftop 실행장면

주요 표기와 기능

• Host display (호스트 표시): n을 눌러 DNS 호스트 해석을 전환하거나, s와 d를 눌러 소스 호스트와 목적지 호스트를 보이거나 숨길 수 있습니다.
• Port display (포트 표시): p를 눌러 포트 표시를 전환하거나, N을 눌러 서비스 해석을 토글 할 수 있습니다.
• Sorting (정렬): 숫자 키나 <, >를 눌러 특정 열로 정렬할 수 있습니다. o를 눌러 현재 순서를 고정할 수도 있습니다.

일반 옵션

• P - pause display (일시 정지): 화면 표시를 일시 정지하고 잠시 멈출 수 있습니다.
• h - toggle this help display (도움말 표시 전환): 도움말 화면을 전환합니다.
• b - toggle bar graph display (막대 그래프 표시 전환): 대역폭 표시를 바 그래프로 전환합니다.
• B - cycle bar graph average (막대 그래프 평균 전환): 막대 그래프의 평균 표시를 순환합니다.
• T - toggle cumulative line totals (누적 라인 합계 토글): 누적 라인 합계 표시를 전환합니다.
• j/k - scroll display (스크롤 표시): 화면을 위/아래로 스크롤합니다.
• f - edit filter code (필터 코드 편집): 필터 코드를 편집할 수 있습니다.
• l - set screen filter (화면 필터 설정): 화면 필터를 설정할 수 있습니다.
• L - lin/log scales (선형/로그 스케일): 선형 또는 로그 스케일을 전환합니다.
• ! - shell command (셸 명령): 셸 명령을 실행할 수 있습니다.
• q - quit (종료): iftop을 종료합니다.

TX와 RX 데이터 표시

아래의 TX와 RX 데이터 표시에서 나타나는 정보는 네트워크 활동에 관한 중요한 정보를 제공합니다.

• TX (송신): 현재 데이터 송신 속도와 누적 송신량을 나타냅니다.
• RX (수신): 현재 데이터 수신 속도와 누적 수신량을 나타냅니다.
• TOTAL (전체): 총 데이터 흐름을 나타냅니다.

이러한 정보를 통해 iftop은 네트워크 활동을 실시간으로 모니터링하고 효율적인 네트워크 관리를 지원합니다.

1. IP 주소와 포트

화면에서 보이는 IP 주소와 포트는 각각 데이터가 주고받는 곳을 나타냅니다. 이 정보를 통해 어떤 연결이 활발한지, 어떤 종류의 트래픽이 많은지를 파악할 수 있습니다.

2. 속도와 데이터 전송률

화면 상단에 표시되는 속도와 데이터 전송률은 현재 네트워크 트래픽의 속도를 보여줍니다. 이는 네트워크 상태를 실시간으로 평가하는 데 유용한 정보입니다.

결론

네트워크 모니터링은 서비스 운영에서 절대 무시할 수 없는 중요한 요소입니다.  물론 동시접속자 20~30명 이하의 개인적인 서버를 운영하신다거나, AWS, Cloud Flare와 같은 플랫폼을 이용하신다면 손쉽게 제어할수있곘지만.. 만약 금융, 정부, 기타 보안 시설 등에서는 이러한 플랫폼을 이용하기 어렵기 때문에 네트워크 보안업체에게 외주를 맡겨서 24시간 모니터링을 한다든지.. 자체 인원을 배치해서 관리한다든지를 할 정도로 중. 요. 한 기술입니다! 보안을 전공하신다거나, 관제 쪽 업무를 희망하신다면 이번기회에 실습을 통해서 익숙해지시길 바랍니다