ntop-3 1 1 ntop -d -c -q -w

ntop-3. 1. 1 ntop -d -c -q -w 3000 -r 30 ntop - display top network users 연구소 작성자 이삼일 2006 -12 -08, V 1. 1 0

Revision Control q 2006 -12 -08, V 1. 1 연구소 이삼일 – Original Issue. – Revision Control Page(본 페이지) 추가 – 마스터 변경(연구소 표준 마스터) – ntop 개요 > “유닉스에서 환경설정” 페이지 추가 – 용어집 추가 According to [Stallings], network monitoring is the most fundamental aspect of automated network management. 인젠 연구소: 완전변신 2006 1

목차 q ntop 개요 q 메뉴 구성 q 메뉴별 화면 According to [Stallings], network monitoring is the most fundamental aspect of automated network management. 인젠 연구소: 완전변신 2006 2

ntop 개요 3

ntop 개요 www. ntop. org q Simple, free, portable network management tool q 주요 기능 – 측정 - Traffic measurement – 감시 - Traffic monitoring – 최적화 및 계획 - Network optimization & planning – 보안 위반 탐지 - Detection of network security violations q 인터페이스 – Web mode: Integrated Web interface – Interactive mode: Simple console command - intop 인젠 연구소: 완전변신 2006 4

ntop 기능 리스트 q Protocol에 따라 network traffic 정렬 q 다양한 기준에 따라 network traffic 표시 q traffic statistics 표시 q RRD format으로 disk에 지속적인 traffic 통계 저장 q 컴퓨터 사용자들의 신분을 파악 (예 email 주소) q 관찰통한 호스트 OS 추측 (i. e. 프로브에서 패킷 전송 없이) q 다양한 프로토콜들 중에서도 IP traffic 분포 표시 q 발신자와 수신자에 따라 IP traffic 분석 및 정렬 q IP Traffic 서브넷 매트릭스 표시 (who's talking to who? ) q Protocol 유형에 따른 IP protocol 사용량 표시 q 라우터/스위치 등등에서 생성된 Net. Flow/s. Flow 수집기로 작동 q RMON과 유사한 network traffic 통계 생성 인젠 연구소: 완전변신 2006 5

[1] 트래픽 측정 - Traffic measurement q 네트워크 사용을 추적하여 서브넷 전체에 대해 또는 로컬 서브넷에 있는 개별 호스트들에 대해 일련의 통계를 생성 q 모든 패킷을 수집하여 sender/receiver 짝으로 연관시킨다. q 특정 호스트에 대한 모든 트래픽 활동을 추적 q 개별 호스트 정보 - Information for each host found – Data sent/received, Used Bandwidth, IP multicast, TCP 세션History, UDP 트래픽, TCP/UDP 사용 서비스, 트래픽 분포, IP 트래픽 분포 q 글로벌 트래픽 통계 - Global traffic statistics – 트래픽 분포, 패킷 분포, Used Bandwidth, 프로토콜 사용과 분포, 로 컬 서브넷 트래픽 매트릭스, 네트워크 플로우 인젠 연구소: 완전변신 2006 6

[2] 트래픽 감시 - Traffic monitoring q 네트워크 트래픽이 명시된 정책 위반 또는 정의된 임계 값 초과 상 황 구별 q 네트워크 설정 문제 탐지 – 중복 IP 주소 사용 – "promiscuous mode"(난잡모드) 로컬 호스트 확인 – 프로토콜 트래픽 데이터 분석을 통한 잘못 설정된 어플리케이션 – 서비스 오용 탐지 – 프로토콜 오용 – 서브넷 라우터 확인 – 과도한 네트워크 대역 사용률 인젠 연구소: 완전변신 2006 7

[3] 네트워크 최적화 및 계획 q 비생산적인 사용의 잠재적인 원천 탐지 – 특히 불필요한 프로토콜과 비최적화 라우팅 문제 q 트래픽 특징 및 분포를 통해 간접적으로 보다 현명한 사용을 위한 정책들을 재검토할 수 있도록 한다. 인젠 연구소: 완전변신 2006 8

[4] 네트워크 보안 위반 탐지 q 계속적인 공격 추적 및 잠재적인 보안 취약점 점검 지원 – IP spoofing – Network cards in promiscuous mode – Denial of service attacks – Trojan horses (for well known ports) – Portscan attacks q 관리자를 위한 알람 생성 (via e-mail, SNMP traps, SMS) q 트래픽 정보를 database에도 저장 가능 인젠 연구소: 완전변신 2006 9

설치 관련 사항 q 제공 포맷 - www. ntop. org – 소스코드 (하나의 소스에서 거의 모든 플랫폼 지원) – 어플리케이션 바이너리 또는 패키지 • 유닉스, 리눅스, BSD - 풀 버전 제공 • 윈도우용 경우 데모 버전으로 최대 1, 000 패킷으로 제한 됨 q 옵션 플러그인 – ICMP, WAP, Net. Flow, s. Flow, RRD, SNMP, Last. Seen PLATFORMS UNIX, Linux, Win 32, Mac OS X MEDIA Ethernet, Token Ring, PPP, FDDI, Raw IP, Loopback PROTOCOLS IP, IPX, Net. BIOS, OSI, Apple. Talk, Dec. Net, DLC IP PROTOCOLS 사용자 설정 가능 (NFS, HTTP, X 11, DNS, FTP, SMTP, POP, IMAP, SNMP, Telnet, etc. ) 인젠 연구소: 완전변신 2006 10

유닉스에서 컴파일 q 소스 다운로드 받기 - CVS 이용 • mkdir /home/src/ntop • cd /home/src/ntop • export CVSROOT=: pserver: anonymous@cvs. ntop. org: /export/home/ntop • cvs login 'ntop' as password • cvs checkout ntop q 컴파일 순서 • cd ntop 압축해제 폴더 • . /configure • make install 인젠 연구소: 완전변신 2006 11

유닉스에서 환경설정 q /usr/local/var/ntop owner 설정 ; ntop 은 nobody 로 실행 되기 때문에 ntop 이 사용하는 DB 파일 pid 파일등이 저장 되는 디렉토리의 owner 를 변경한다 # /usr/local/bin/ntop Mon Dec 4 14: 31: 24 2006 ntop will be started as user nobody **WARNING** INIT: Unable to create pid file (/usr/local/var/ntop. pid) Mon Dec 4 14: 23: 31 2006 **ERROR** RRD: Disabled - unable to create base directory (err 13, /usr/local/var/ntop/rrd) # chown -R nobody: nobody /usr/local/var/ntop # ps -ef | grep ntop nobody 896 1 0 Dec 04 ? 00: 08: 31 ntop -d -c -q -w 3000 -r 30 -P /usr/local/var/ntop -M -i eth 0 인젠 연구소: 완전변신 2006 12

유닉스에서 환경설정 q Admin password 설정 # ntop --set-admin-password=xyz 12345 Tue Dec 5 22: 59: 06 2006 NOTE: Interface merge enabled by default Tue Dec 5 22: 59: 06 2006 Initializing gdbm databases Tue Dec 5 22: 59: 06 2006 Admin user password has been set 인젠 연구소: 완전변신 2006 13

실행 및 관리자 접속 q 데몬 실행 – ntop -d -c -q -w 3000 -r 30 -P /var/log/ntop -M -i eth 0, eth 2 • d demon mode • c Sticky hosts • q create suspicious packets • w web server port • r refresh interval - sec q 관리자 웹 UI 접속 - http: //hostname: portnumber/ – 디폴트 HTTP 포트: – 예제 3000 http: //f 1: 3000/ – 기타 설정은 웹에서 수행 q Interactive mode 인젠 연구소: 완전변신 2006 14

ntop Architecture Report Engine Packet Analyzer Packet Sniffer 실제 트래픽 인젠 연구소: 완전변신 2006 Net. Flow/s. Flow listeners Flows 15

ntop host hashtable entries Host hashtable entries Protocol Traffic Counters 인젠 연구소: 완전변신 2006 IP Traffic Counters TCP/UDP Connections Stats Active TCP connections List Peers List 16

ntop 성능관련 사항 q libpcap 기반 성능 q Packet loss 적음 - 커널과 ntop 자체에서 버퍼 됨 q 잠재적으로 오랜 시간 실행하는 액션은 비동기 모드로 구현 – 예) IP address resolution q 여러 개의 쓰레드를 이용 q 해시 테이블을 광범위하게 이용 q 성능향상을 위해 Unix 및 리눅스에서는 PF_RING 사용 – 커널 모드에서 메모리 사용 (? ? ? ) – RRD (Round Robin Database)와는 다른 것임 인젠 연구소: 완전변신 2006 17

기타 특징 – Unix and Win 32 다중 프로세스 다중 쓰레드 지원 – 가상 및 다중 네트워크 카드 지원 – 원격 접속을 위해 Perl/PHP/Python lightweight API 지원 – 수집 소스로 Net. Flow & s. Flow 지원 - 동시에 다중 프로브 – 장기간의 트래픽 분석을 위해 RRD database에 통계 저장 – 인터넷 도메인, AS (Autonomous Systems), VLAN 통계 – 수동적 (Passive) 원격 호스트 지문 사용 (ettercap) – 네트워크 OS 및 사용자에 따라 자산 발견 및 분류 – 잘 알려진 P 2 P (Peer to Peer) 프로토콜에 대한 디코더 – HTTP 사용자당 인증/암호 적용 및 HTTPS via Open. SSL – Graphical Charts via gdchart – WAP support 인젠 연구소: 완전변신 2006 18

ntop 관련 포함(또는 외장) 툴 내장 HTTP net. Flow 수집기 ettercap 목록 NIC 제조자 lsof 목록 List open files s. Flow gdchart gd, libpng libpcap 라우팅 AS 기반 목록 AS-list. txt. gz Open. SSL HTTPS oui. txt. gz nmap RRD 지원 도메인. 국가 목록 p 2 c. opt. table. gz WAP gdbm 지원 데이터베이스 인젠 연구소: 완전변신 2006 services OS 추정 etter. finger. os. gz Perl, PHP, Python 수집기 /etc/ 특별한 MAC 목록 special. MAC. txt. gz 19

ntop 플러그인 Netflow SNMP agent s. Flow Xmldump PDA rrd icmp. Watch 인젠 연구소: 완전변신 2006 Last. Seen 20

DB 및 저장소 - gdbm, RRD 21

1. ntop 시간 시리즈와 관련 없는 정보 q /usr/local/var/ntop – gdbm 포맷 캐시 데이터 파일 • Ls. Watch. db • address. Queue. db • dns. Cache. db, prefs. Cache. db • fingerprint. db, mac. Prefix. db • ntop_pw. db – tcpdump 포맷 패킷 덤프 파일 • ntop-suspicious…. pcap 인젠 연구소: 완전변신 2006 22

2. RRD 데이터 저장 구조 matrix 192. 168. 1. 1 hosts 00 0 B 6 A 8 A 192 eth 0 192. 168. 1. 106 168 199 1 D 1 67 205 domains kr netflow 인젠 연구소: 완전변신 2006 23

ntop rrd 파일 리스트 (인터페이스)(. rrd 확장자 생략) q /usr/local/var/ntop/rrd/interfaces/eth 0 – 프로토콜별 트래픽 (L 2) • ip. Bytes, arp. Rarp. Bytes, stp. Bytes, other. Bytes – IP별 트래픽 (L 3) • tcp. Bytes, udp. Bytes, icmp. Bytes – IP 서비스별 트래픽 (L 4) • IP_DHCP-BOOTPBytes, IP_DNSBytes, IP_HTTPBytes, IP_SSHBytes, IP_Kazaa. Bytes, IP_Mail. Bytes, IP_e. Donkey. Bytes IP_Messenger. Bytes, IP_NBios. IPBytes, IP_SNMPBytes, – 패킷 크기 패킷량 • up. To 1518 Pkts, up. To 1024 Pkts, …, up. To 128 Pkts, up. To 64 Pkts – 패킷 캐스트 • ethernet. Pkts, broadcast. Pkts, multicast. Pkts – 기타 • IGMP, ethernet. Bytes, active. Host. Senders. Num, known. Hosts. Num 인젠 연구소: 완전변신 2006 24

ntop rrd 파일 리스트 (domains) q 도메인 이름에 따라 서브 폴더가 생성됨 - 단일 레벨 – 도메인 단위당 트래픽 통계 q /usr/local/var/ntop/rrd/interfaces/eth 0/domains/ • bytes. Rcvd, bytes. Sent • tcp. Rcvd, tcp. Sent • udp. Rcvd, udp. Sent 인젠 연구소: 완전변신 2006 25

ntop rrd 파일 리스트 (hosts) q 내/외부 호스트 구분에 따라 통계 파일들 위치가 다름 – 로컬 호스트 경우는 MAC 주소에 따라 – 외부 호스트 경우 IP 주소에 따라 q /usr/local/var/ntop/rrd/interfaces/eth 0/hosts/ – 00/0 B/6 A/75/1 F/2 E/ • bytes. Rcvd, bytes. Rcvd. Loc, ip. Bytes. Rcvd, pkt. Rcvd, tcp. Rcvd. Loc, tot. Contacted. Rcvd. Peers – 131/114/21/22/ • • • IP_HTTPRcvd. Bytes, IP_HTTPSent. Bytes, bytes. Rcvd, bytes. Sent, pkt. Rcvd, pkt. Sent ip. Bytes. Rcvd, ip. Bytes. Sent bytes. Sent. Loc, bytes. Rcvd. Loc tcp. Rcvd. Loc, tcp. Sent. Loc tot. Contacted. Sent. Peers, tot. Contacted. Rcvd. Peers 인젠 연구소: 완전변신 2006 26

ntop rrd 파일 리스트 (matrix) q IP 주소에 따라 서브 폴더가 생성됨 - 단일 레벨 – 그 하위에 상위 주소와 통신이 있었던 IP 주소 폴더들이 생성되고 여 기에 통계 정보 생성 q /usr/local/var/ntop/rrd/interfaces/eth 0/matrix/ – 192. 168. 1. 106/ • 192. 168. 1. 101/ § bytes, pkts • 192. 168. 1. 11/ § bytes, pkts 인젠 연구소: 완전변신 2006 27

Net. Flow and ntop versions ntop n. Probe n. Box 28

ntop과 관련한 기타 SW HTTP 3000 포트 사용 ntop Collector (Receiver) Probe (Sender) 패킷 콜랙터 요약 통계 Net. Flow, s. Flow 수집기 관리자 화면 Net. Flow 수집 위해 UDP 2055 포트 사용 HTTP 3000 포트 사용 n. Probe 패킷 콜랙터 요약 통계 n. Box 임베디트 시스템 내장 웹서버 n. Probe Net. Flow 수집 위해 UDP 2055 포트 사용 인젠 연구소: 완전변신 2006 29

n. Probe란? q Net. Flow 통계 정보 생성 제공자 q Gateway에서 오는 Net. Flow 흐름 분석 q Gateway의 Embedded, low-speed, Net. Flow 프로브 대체 q 패킷 로스 없이 (또는 아주 적게) 최대 속도에서 Gbit 네트워크 분 석 q ntop 또는 상용 제품에 Net. Flow 전달 – e. g. Cisco Net. Flow Collector 또는 HP-OV 인젠 연구소: 완전변신 2006 30

n. Probe 개요 q 범위 하드웨어 이용 저렴한 Net. Flow probe 제공 q 지원 OS: Unix, Mac. OS X, Windows, embedded 환경 q 효율적인 플로우 처리를 위해 Net. Flow v 9/n. Flow 지원 q IPv 4와 IPv 6 지원 q 제한된 메모리 공간 사용과 and 적절한 CPU 사용. – 네트워크 크기와 상관없이 2 MB 미만 사용 q 제한된 리소스 환경 및 임베디드 시스템을 위해 디자인 됨 – n. Probe binary < 100 Kb q 나중 분석을 위해 플로우를 디스크에 저장할 수 있고 기존 모니터링 어플리케이션에 통합 가능 q 고성능 프로브 – 상용 또는 라우터/스위치 내장 프로브들은 고속 네트워크에 대응 못하는 경우가 많음 인젠 연구소: 완전변신 2006 31

n. Probe Flow 필드 – BYTES, PKTS, FLOWS, PROT, TOS, TCP_FLAGS, L 4_SRC_PORT, IP_SRC_ADDR – SRC_MASK, INPUT_SNMP, L 4_DST_PORT, IP_DST_ADDR, DST_MASK – OUTPUT_SNMP, IP_NEXT_HOP, SRC_AS, DST_AS, BGP_NEXT_HOP – MUL_DPKTS, MUL_DOCTETS, LAST_SWITCHED, FIRST_SWITCHED – IPV 6_SRC_ADDR, IPV 6_DST_ADDR, IPV 6_SRC_MASK, IPV 6_DST_MASK – FLOW_LABEL, ICMP_TYPE, IGMP_TYPE, SAMPLING_INTERVAL – SAMPLING_ALGO, FLOW_ACTIVE_TIMEOUT, FLOW_INACTIVE_TIMEOUT – ENGINE_TYPE, ENGINE_ID, TOTAL_BYTES_EXP – TOTAL_PKTS_EXP, TOTAL_FLOWS_EXP, IP_PROTOCOL_VERSION – DIRECTION, IPV 6_NEXT_HOP, BPG_IPV 6_NEXT_HOP, IPV 6_OPTION_HEADERS – MPLS_LABEL_1, MPLS_LABEL_2, MPLS_LABEL_3, MPLS_LABEL_4, MPLS_LABEL_5 – MPLS_LABEL_6, MPLS_LABEL_7, MPLS_LABEL_8, MPLS_LABEL_9, MPLS_LABEL_10 – FRAGMENTED, FINGERPRINT, VLAN_TAG – NW_LATENCY_SEC, NW_LATENCY_NSEC, APPL_LATENCY_SEC, nprobe -T "%LAST_SWITCHED %FIRST SWITCHED %BYTES APPL_LATENCY_NSEC %PKTS %INPUT_SNMP %OUTPUT_SNMP %IP_SRC_ADDR – PAYLOAD %IP_DST_ADDR %PROT %TOS %L 4_SRC_PORT %L 4_DST_PORT" 인젠 연구소: 완전변신 2006 32

n. Box 86 - 임베디드 ntop & n. Probe q 내용물 – x 86 PC - 최소128 MB RAM, Pentium or better CPU – n. Box 86 firmware image - 데비안 기반 – IDE Flash disk 또는 128 MB Compact Flash with IDE Adapter. q 구매 옵션 1. Software only You purchase a PC and upload the n. Box 86 firmware yourself 2. Compact flash n. Box 86 uploaded 3. Complete box 다양한 박스 선택 가능 인젠 연구소: 완전변신 2006 33

Net. Flow Infrastructure 인젠 연구소: 완전변신 2006 34

Net. Flow에서의 Flow란? q 동일 (src ip & port, dst ip & port, protocol #) 패킷들의 집합 – 몇몇 protocols - ICMP 경우 포트에 대한 개념이 없음 q 모든 플로우는 수명이 있다. nprobe -n [-i ] 클라이언트 연결 개념 Flow = Session = Socket 통신 장비에서 주로 사용 개념 인젠 연구소: 완전변신 2006 프로그래밍에서 주로 사용 개념 35

메뉴 구성 36

메뉴 구성 q About q All Protocols – What is ntop – Traffic – Show Configuration – Throughput – Credits – Activity – Man page Help q Summary – Traffic – Hosts – Network Load – ASN Info – VLAN Info – Network Flows 인젠 연구소: 완전변신 2006 q IP – Summary – Traffic Directions – Local q Media – Fiber Channel – SCSI Sessions q Admin q Utils 37

IP q Summary q Local – Traffic – Routers – Multicast – Ports Used – Internet Domain – Active TCP sessions – Host Clusters – Host Fingerprint – Distribution – Host Characterization q Traffic Directions – Network Traffic Map – Local to Local – Local Matrix – Local to Remote – Remote to Local – Remote to Remote 인젠 연구소: 완전변신 2006 38

Admin q Plugins q Configure – icmp. Watch, PDA Plugin, Last. Seen – Startup Options – Net. Flow, snmp. Plugin, xmldump, rrd. Plugin – Preferences – Packet Filter q Switch NIC – Reset Stats q Shutdown – Web Users – Protect URLs 인젠 연구소: 완전변신 2006 39

Media q Fibre Channel q SCSI Sessions – Traffic – Bytes – Throughput – Times – Activity – Status – Hosts – Task Management – Traffic Per Port – Sessions – VSAN Summary 인젠 연구소: 완전변신 2006 40

메뉴별 화면 41

Summary -> Traffic Global Traffic Statistics Traffic Report for 'eth 0' [Switch] Network Interfaces Sampling Since Active End Nodes Packets Traffic Remote Host Distance Network Load Historical Data (RRD data) Global Protocol Dist. (L 2) Global TCP/UDP Protocol Dist. (L 4) IP (R)ARP STP … HTTP DNS … Others 인젠 연구소: 완전변신 2006 42

Summary -> Traffic All Protocol Distribution Host Distance IP Protocol Distribution 인젠 연구소: 완전변신 2006 43

Summary -> Traffic IP & None IP Packet Size 인젠 연구소: 완전변신 2006 Packet Cast Packet TTL 44

Summary -> Traffic: Historical data (RRD) Cast L 2 Protocols Size L 3 Protocols L 4 Protocols 인젠 연구소: 완전변신 2006 45

Summary -> Traffic: Historical data (RRD) Last hour Week Last 6 Hours Month Last 12 Hours Year Day 인젠 연구소: 완전변신 2006 46

Summary -> Hosts q Field details – Host (Name) Traffic Unit: [ Bytes ] [ Packets ] – Domain (Country Flag based on IP addresses) – IP address – Other name(s) – Bandwidth (% of the total bytes on a interface) – Nw Board Vendor (NIC manufacturer) – Hops Distance – Host Contacts – Age/Inactivity – AS ? ? ? 인젠 연구소: 완전변신 2006 Hover the mouse to see the actual value. The total will NOT be 100% as local traffic will be counted TWICE (sent and received) 47

Summary -> Hosts 인젠 연구소: 완전변신 2006 48

Summary -> Hosts: Host Info q Info about a host q Host Traffic Stats q Packet Statistics q Protocol Distribution q Last Contacted Peers q IP Service Stats: Server Role q TCP/UDP - Traffic on Other Ports q TCP/UDP Recently Used Ports q Active TCP Sessions 인젠 연구소: 완전변신 2006 49

Summary -> Hosts: Host Info: Info about IP Address, Fist/Last Seen, Domain, MAC Address, NW Board Vendor, Host Location, IP TTL, Total Data sent, Broadcast Pkts Sent, Data Sent Stats (Local, Remote), IP vs. Non-IP Sent, Total Data Rcvd, Data Rcvd Stats (Local, Remote), Sent vs. Rcvd Pkts, Sent vs. Rcvd Data, Host Type 인젠 연구소: 완전변신 2006 50

Summary -> Hosts: Host Traffic Stats 인젠 연구소: 완전변신 2006 51

Summary -> Hosts: Various 인젠 연구소: 완전변신 2006 52

Summary -> Hosts: Various 인젠 연구소: 완전변신 2006 53

Summary -> Hosts: Various 인젠 연구소: 완전변신 2006 54

Summary -> Network Load Statistics Matrix 인젠 연구소: 완전변신 2006 55

Summary -> ASN Info q Autonomous Systems Traffic Statistics 인젠 연구소: 완전변신 2006 56

Summary -> VLAN Info q VLAN Traffic Statistics 인젠 연구소: 완전변신 2006 57

Summary -> Network Flows 인젠 연구소: 완전변신 2006 58

All protocols -> Traffic 인젠 연구소: 완전변신 2006 59

All protocols -> Network Throughput 인젠 연구소: 완전변신 2006 60

All protocols -> Network Activities 24 Hours 인젠 연구소: 완전변신 2006 61

IP -> Summary -> Traffic 인젠 연구소: 완전변신 2006 62

IP -> Summary -> Multicast 인젠 연구소: 완전변신 2006 63

IP -> Summary -> Internet Domains 인젠 연구소: 완전변신 2006 64

IP -> Summary -> Host Clusters 인젠 연구소: 완전변신 2006 65

IP -> Summary -> Distribution 인젠 연구소: 완전변신 2006 66

IP -> Summary -> Distribution 인젠 연구소: 완전변신 2006 67

IP -> Traffic Directions 인젠 연구소: 완전변신 2006 68

IP -> Traffic Directions 인젠 연구소: 완전변신 2006 69

IP -> Local q Routers q Ports Used q Active TCP sessions q Host Fingerprint q Host Characterization q Network Traffic Map q Local Matrix 인젠 연구소: 완전변신 2006 70

IP -> Local -> Routers, Ports 인젠 연구소: 완전변신 2006 71

IP -> Local -> Active TCP Sessions, OS Visit Ettercap's home page at Source. Forge for OS fingerprints 인젠 연구소: 완전변신 2006 72

IP -> Local Hosts Characterization 인젠 연구소: 완전변신 2006 73

IP -> Local -> Network Traffic Map 인젠 연구소: 완전변신 2006 74

IP -> Local Traffic Matrix 인젠 연구소: 완전변신 2006 75

Admin -> Plugins Xmldump Netflow icmp. Watch View Configure Desc. 　 xmldump icmp. Watch rrd. Plugin PDAPlugin s. Flow Last. Seen Active Ver. Author 　 1 B. Strauss No 　 　 2. 4 L. Deri Yes 　 Net. Flow 　 3. 99 L. Deri No 　 rrd. Plugin 　 2. 6 L. Deri Yes PDAPlugin 　 　 2. 2 W. Brock No 　 snmp. Plugin 　 0. 1 F. Fusco, G. Giardina No 　 s. Flow 　 2. 99 L. Deri Yes Last. Seen 　 　 2. 3 A. Marangoni Yes 인젠 연구소: 완전변신 2006 [click to toggle] 76

Admin -> Plugins - Last Seen 인젠 연구소: 완전변신 2006 77

Admin -> Plugins - Net. Flow, s. Flow 인젠 연구소: 완전변신 2006 78

Admin -> Plugins - s. Flow 인젠 연구소: 완전변신 2006 79

Admin -> Plugins - Net. Flow 인젠 연구소: 완전변신 2006 80

Admin -> Plugins - RRD 인젠 연구소: 완전변신 2006 81

Admin -> Switch NIC 인젠 연구소: 완전변신 2006 82

Admin -> Configure 인젠 연구소: 완전변신 2006 83

Admin -> Configure 인젠 연구소: 완전변신 2006 84

Admin -> Configure 인젠 연구소: 완전변신 2006 85

Admin -> Configure 인젠 연구소: 완전변신 2006 86

Utils -> ntop Data Dump 인젠 연구소: 완전변신 2006 87

Utils -> ntop Log 인젠 연구소: 완전변신 2006 88

참고 문헌 및 사이트 q www. ntop. org q Proxying ntop through Apache, Toby Johnson, 2002 q Ntop, Persistent data and rrd, 인젠 연구소: 완전변신 2006 89

용어집 q PF_RING – PF_RING is a new type of network socket that dramatically improves – the packet capture speed, and that's characterized by the following properties: 1. Available for Linux kernels 2. 4. X and 2. 6. X 2. Device driver independent (best results can be achieved using network cards that support NAPI such as the Intel cards) 3. Kernel-based packet capture and sampling. 4. Libpcap support (see below) for seamless integration with existing pcapbased applications. 5. New Ability to work in transparent mode (i. e. the packets are also forwarded to upperlinks so existing applications will work as usual). – If you want to know about PF_RING internals you have two options. Either read the paper Improving Passive Packet Capture: Beyond Device Polling or have a look at the source code. 인젠 연구소: 완전변신 2006 90

용어집 q AS (Autonomous Systems) In the Internet, an autonomous system (AS) is a collection of IP networks under control of a single entity, typically an Internet service provider or a very large organization with independent connections to multiple networks, that adhere to a single and clearly defined routing policy. A unique AS number (or ASN) is allocated to each AS for use in BGP(Border Gateway Protocol) routing. With BGP, AS numbers are important because the ASN uniquely identifies each network on the internet. AS numbers are currently 16 -bit integers, which allow for a maximum of 65536 assignments. q VLAN A virtual LAN, commonly known as a v. LAN or as a VLAN, is a method of creating independent logical networks within a physical network. Several VLANs can coexist within such a network. Graphical Charts via gdchart 인젠 연구소: 완전변신 2006 91

용어집 q gdbm Dbm was the first of a family of simple database engines, and was produced by AT&T in 1979. The name is a three letter acronym for Database manager. It used stores data by use of a single key (a primary key) in fixedsize buckets and uses hashing techniques to enable fast retrieval of the data by key. Gdbm: Standing for 'Gnu Database Manager' this open source version was written by Philip A. 인젠 연구소: 완전변신 2006 92

용어집 q Net. Flow is an open but proprietary network protocol developed by Cisco Systems to run on Cisco IOS-enabled equipment for collecting IP traffic information. 인젠 연구소: 완전변신 2006 93