네트워크 기반 프로그램 활용

1. Ping(packet internet groper)

 (1) ICMP 프로토콜에 대표적인 프로그램으로 가장 많이 활용하는 형태는 다른 호스트 IP로 ping 테스트를 하여 올바르게 네트워크가 연결되었는지를 점검하는 도구를 말한다.

 -t : ctrl + c키로 중단하기 전까지는 ping 패킷을 지속해서 보낸다.

 -a : IP주소에 대해 호스트 이름 명을 보여준다.

 -n : ping을 몇 번 보낼지 패킷 수를 지정한다.

 -l size : ping 패킷 사이즈를 지정한다.

 -l TTL : 중간 라우터 장비를 몇 번 경유할지를 지정한다.

 2. Traceroute(tracert)

 (1) 자신의 컴퓨터가 인터넷을 통해 목적지를 찾아가면서 구간의 정보를 기록하는 유틸리티 프로그램이다. IP주소나 URL로서 목적지를 입력하면 구간마다 지나는 게이트웨이 컴퓨터 이름이나 주소, 걸리는 시간 등을 표시해 줌으로써 인터넷 경로 상의 문제점이 있는 네트워크를 파악할 수 있게 한다.

 (2) 윈도우 계열의 경우에는 Tracert 명령어로 각 구간의 게이트웨이 정보를 추적할 수 있다.

3. netstat : netstat은 네트워크 포트 TCP, UDP 상태를 확인함으로써 바이러스나 해킹 여부를 진단할 때 사용되는 유용한 도구이다.

 * 형식 : netstat [-a] [-e] [-n] [-s] [-r] [-p proto] [interval]

 * 옵션

 -a : 컴퓨터에서 수신되어 활성화되어 있는 모든 tcp, udp 포트 표시

 -r : 라우팅 테이블 확인 및 커넥션되어 있는 포트 번호 확인

 -n : 현재 다른 PC와 연결된 포트 번호와 IP 확인

 -e : 랜카드에서 송신한 패킷의 용량 및 종류 확인 -s와 같이 사용

 -s : IP, icmp, TCP, UDP 프로토콜의 상태

 * Active connection Display State 표시

 LISTEN : 서버의 데몬이 떠서 접속 요청을 기다리는 상태

 SYS-SENT : 로컬의 클라이언트 애플리케이션이 원격 호스트에 연결을 요청한 상태 

 SYN_RECEIVED : 서버가 원격 클라이언트로부터 접속 요구를 받아 클라이언트에게 응답하였지만 아직 클라이언트 확인 메시지를 받지 않은 상태

 ESTABLISHED : 3-way 핸드쉐이킹이 완료된 후 서로 연결된 상태

 FIN-WAIT1, CLOSED-WAIT, FIN-WAIT2 : 서버에서 연결을 종료하기 위해 클라이언트에게 종결을 요청하고 회신을 받아 종료하는 과정의 상태

 CLOSSING : 주로 확인 메시지가 전송 도중 분실된 상태

 TIME-WAIT : 연결은 종료되었지만 분실되었을지 모르는 세그먼트를 위해 당분간 소켓을 열어 놓은 상태

 CLOSED :  완전히 종료된 상태

4. tcpdump : 네트워크 모니터링 및 패킷을 분석하는 유닉스용으로 가장 많이 사용하는 도구 중의 하나이다. tcpdump는 패킷을 수집하기 위하여 libpcap 라이브러리를 사용하고 있어야 실행할 수 있다. 텍스트 기반의 패킷 분석기라고 생각하면 된다. tcpdump는 네트워크 인터페이스를 통과하는 프레임의 내용을 캡처할 수 있는 명령어 라인이며 프레임의 내용은 변경하지 않는다.

 (1) tcpdump 사용 옵션

 -a : network & broadcast 주소들을 이름으로 바꾼다.

 -c Number : 제시된 수의 패킷을 받은 후 종료한다.

 -d : 컴파일된 패킷 매칭 코드를 사람이 읽을 수 있도록 바꾸어 표준 출력으로 출력하고 종료한다.

 -dd : 패킷 매칭 코드를 C 프로그램의 일부로 출력한다.

 -i device : 어느 인터페이스를 경유하는 패킷을 잡을지 지정한다. 지정하지 않으면 시스템 내에 가장 낮은 번호를 가진 인터페이스를 선택한다. 루프 백은 제외한다.

 -n : 모든 주소를 번역하지 않는다.

 -N : 호스트 이름을 출력할 때 도메인을 나타내지 않는다.

 -p : 인터페이스를 promiscuous mode로 두지 않는다.

 -r file : 패킷을 -w 옵션으로 만들어진 파일로부터 읽어 들인다. 파일에 '-'가 사용되면 표준 입력을 통해서 받아들인다.

 -v : 조금 더 많은 정보를 출력한다.

 -vv : '-v'보다 더 많은 정보를 출력한다. 

 -w : 캡처한 패킷들을 분석해서 출력하는 대신 그대로 파일에 저장한다.

 (2) tcpdump 자주 활용되는 사용법

 * 특정 이더넷 인터페이스로 송수신되는 패킷 헤더 덤프 및 확인하는 방법

 형식 # tcpdump -i eth0 -w tcpdump.txt

 * 특정 이더넷에 대한 송수신 되는 패킷헤더 덤프 및 확인하는 방법

 형식 # tcpdump -i eth0 -c 5