ShieldOne ETM(Enhanced Traffic Monitor)

1. ETMforNetwork Traffic Management
인터넷 전용선의 효율적 운영
√ 인터넷 전용선 관리의 어려움
• 비디오 , 오디오 , 고화질 사진과 같은 대용량의 데이터를 제공하는 인터넷 컨텐츠의 증가
• PC, 노트북의 성능 향상 ( 기본 100Mbps 의 네트워크 접속 )
• 웜 , 바이러스 , P2P, 네트워크 게임등과 같은 대용량의 트래픽 유발
네트워크 응답성 확보
√ 인터넷 3 초룰
• 네트워크에 연결되어 인터넷을 사용하는 유저가 웹사이트에 접속하였을 때 , 3 초내에 초기화면이 뜨지
않을 경우 유저는 다른 사이트로 이동
• 외부로 서비스하는 서버의 응답 속도는 인터넷 전용선의 트래픽 사용량에 영향
네트워크 모니터링의 중요성
인터넷 전용회선의 효율적 운용을 위한 정보
네트워크 병목현상 (Bottleneck) 의 원인
√ 인터넷 전용회선 대역폭에 70% 이상의 트래픽이 꾸준히 발생하였을 경우 네트워크에 병목현상이 발생
했다고 볼 수 있음 ( 예 , 메트로이더넷 10M 에 7M 이상의 트래픽을 사용 )
• 비디오 , 오디오 , 과화질 사진과 같은 대용량의 데이터 트래픽 전송
• 웜 , 바이러스등과 같은 소용량의 데이터가 대규모로 발생
√ 네트워크 병목현상의 예
• 메트로 10Mbps 전용회선에 700Mbyte 데이터를 다운로드한다고 가정하였을 경우 , 약 10 분 정도 전용
회선에 바틀넥이 걸림 .(700M x 8bit ÷ 10Mbps = 560sec = 9.3Min)
인터넷 전용회선의 효율적인 운용을 위한 정보
√ 인터넷 전용회선의 트래픽 양 (BPS)
• 인터넷 전용회선을 통해 지나가는 트래픽 데이터의 양
√ 인터넷 전용회선의 패킷 수 (PPS)
• 인터넷 전용회선을 지나가는 패킷의 수
√ 프로토콜 점유율
• TCP, UDP 데이터 점유율
√ 프로토콜 포트 점유율
• TCP, UDP 포트 점유율
√ 평균 패킷 사이즈
• 인터넷 전용회선을 지나가는 패킷의 평균 사이즈

2. ETMforNetwork Traffic Management
인터넷 전용회선의 효율적인 운용을 위한 조건
ETM(eNClue Traffic Monitor) 소개
인터넷 전용회선의 효율적인 운용을 위한 조건
√ 인터넷 전용회선의 트래픽 양 (BPS)
• 트래픽이 인터넷 전용회선 대역폭의 70% 미만 점유 ( 각 송신 , 수신별로 )
√ 인터넷 전용회선의 패킷 수 (PPS)
• 인터넷 전용회선의 대역폭별로 안정적인 패킷 수 ( 부록 참조 )
√ 프로토콜 점유율
• 일반적인 네트워크 환경하에서 TCP 의 점유율이 UDP 에 비해 높음
• UDP 의 점유율이 TCP 보다 높거나 30% 가 넘는 경우는 비정상적이라고 볼 수 있음
• 단 , 비디오 강의나 교육방송과 같은 스트리밍 서비스인 경우에는 UDP 점유율이 높을 수 있음
√ 프로토콜 포트 점유율
• 일반적으로 TCP 의 점유율이 70% 이상이며 , TCP 포트 중 80(www) 포트가 50% 이상임
• 단 , P2P 트래픽을 허용하는 네트워크에서는 80(www) 의 점유율이 낮을 수 있음
• TCP 포트 중 80(www) 포트가 아닌 다른 포트가 점유율이 높다면 비정상이라고 볼 수 있음
√ 평균 패킷 사이즈
• 네트워크에 연결된 사용자가 인터네의 웹사이트에 접속할 때 , 인터넷 전용회선을 지나가는 패킷의
평균 사이즈를 대략 계산해보면 , { 송신 (64byte) + 수신 (1516byte)} ÷ 2 하면 대략 790byte 가 됨
• 웜이나 바이러스와 같은 트래픽은 일반적으로 64byte 의 패킷 사이즈를 가지고 있으므로 , 내부
네트워크에 웜이나 바이러스 트래픽이 발생한다면 , 평균 패킷 사이즈는 매우 작아 질 것임 .
• 일반적으로 정상적인 네트워크 환경에서의 평균 패킷 사이즈는 700byte ~ 900byte 이며 , 비정상적인
경우에는 600byte 미만으로 내려가는 경향이 있음
BPS, PPS, TCP, UDP, 평균패킷사이즈등 중요한 정보를 실시간으로 제공
√ 인터넷 전용회선의 효율적인 운용을 위한 정보를 제공하는 All-in-One 네트워크 모니터링 도구
Traffic IP, Top TCP Port, Top UDP Port, Protocol 현황을 실시간으로 제공
√ 현재 내부 네트워크에 연결된 사용자 중 누가 트래픽을 가장 많이 사용하고 있는지 알 수 있음
√ 인터넷 전용회선을 사용하는 트래픽에 대한 TCP, UDP port 현황 제공
√ 인터넷 전용회선을 사용하는 트래픽에 대한 Protocol 현황 제공
SYN/Session, URL 현황 제공
√ 현재 내부 네트워크에서 외부로 접속하는데 발생하는 SYN 과 Session 정보 제공
√ 제일 많이 접속하는 사이트 정보 제공

3. ETMforNetwork Traffic Management
ETM(eNClue Traffic Monitor) 매니저 네트워크 구성
구성도
√ ETM 매니저는 백본 링크에 TAP 을 이용하여 연결됨
ETM 매니저
방화벽
백본스위치
Internet
IPS 내부스위치
TAP
내부스위치
√ ETM 매니저의 TAP 연결은 네트워크 성능에 영향을 주지 않음
ETM(eNClue Traffic Monitor) 화면구성
ETM GUI
√ 네트워크 운영자 PC 에 ETM 매니저 접속 도구를 설치하여 ETM 매니저에 접속함

4. ETMforNetwork Traffic Management
ETM(eNClue Traffic Monitor) 화면 설명과 운영 가이드라인
Inbound/Outbound Traffic Direction
√ Inbound 는 외부  내부로 들어오는 트래픽을 정의함
√ Outbound 는 내부  외부로 나가는 트래픽을 정의함
ETM 매니저
방화벽
백본스위치
Internet
IPS 내부스위치
내부스위치
Inbound
Outbound
In/Outbound BPS(Bits per Second)
화면설명
• 초당 백본 링크를 통해 지나간 패킷의 총 바이트 합
가이드라인
• 일반적인 네트워크 환경에서 Inbound BPS 가
Outbound BPS 에 비해 값이 높음
• DMZ 와 같은 서버팜에서는 Outbound BPS 값이 높음
• Inbound/Outbound BPS 중 백본 링크의 70% 이상
꾸준히 점유하면 인터넷 회선 증설이나 , 백본 링크의
증설을 고려해야 함
In/Outbound PPS(Packets per Second)
화면설명
• 초당 백본 링크를 통해 지나간 패킷의 총 합
가이드라인
• PPS 가 BPS 보다 네트워크 성능에 더 큰 영향을 미침
• 웜이나 바이러스와 같은 트래픽은 작은 패킷사이즈를
가지는 대량의 패킷을 발생함으로 , PPS 가 과도하게
증가하면 웜이나 바이러스 패킷이 발생했을 가능성이
높음

5. ETMforNetwork Traffic Management
ETM(eNClue Traffic Monitor) 화면 설명과 운영 가이드라인
Traffic IP
화면설명
• 내부 사용자의 백본 링크의 네트워크 사용 점유율
가이드라인
• 특정 내부 사용자가 다른 사용자에 비해 네트워크
사용율이 높다면 , 이 사용자는 P2P 와 같은 대용량의
파일 다운로드하고 있거나 , 웜이나 바이러스와 같은
다량의 패킷을 발생시키고 볼 수 있음
• 인터넷 전용회선 및 백본 링크의 효율적 사용을 위하
여 상위 20% 의 네트워크 고사용율자에 대한 적절한
조치가 필요함
Top TCP Port
화면설명
• 백본 링크의 TCP Port 사용 점유율
가이드라인
• TCP 포트 중 WWW(80) 의 사용율이 제일 높은 것이
일반적인 네트워크 환경이며 , 다른 TCP 포트가
www
(80) 보다 사용율이 높다면 , P2P 나 DoS, DDoS 의
SYB Bomb 트래픽일 가능성이 높음
• 인터넷 전용회선 및 백본 링크의 효율적 사용을 위하
여 ww(80) 이외의 TCP 포트에 대한 점검이 필요함Top UDP Port
화면설명
• 백본 링크의 UDP Port 사용 점유율
가이드라인
• 일반적인 네트워크 환경에서 백본 링크의 UDP 포트
는 161(SNMP), 53(DNS) 이며 , 이외의 UDP 포트사
용
점유율이 높다면 , P2P, 웜 , 바이러스 , DoS, DDoS 등
비정상적인 트래픽일 가능성이 높음
• 인터넷 전용회선 및 백본 링크의 효율적 사용을 위하
여 UDP 포트에 대한 점검이 필요함

6. ETMforNetwork Traffic Management
ETM(eNClue Traffic Monitor) 화면 설명과 운영 가이드라인
Protocol
화면설명
• 백본 링크의 TCP, UDP 등 프로토콜 사용 점유율
가이드라인
• 일반적인 네크워크 환경하에서는 TCP 가 다른 프로토
콜에 상대적으로 높은 비율을 보이며 , 대략 TCP 의 사
용 점유율이 70% 이상임
• TCP 가 아닌 다른 프로토콜의 사용이 높다면 , UDP 플
러딩 , ICMP 브로드캐스팅과 같은 비정상적인 프로토
콜의 트래픽을 점검해야 함
SYN/SESSION
화면설명
• 백본 링크의 SYN/SESSION 사용율
가이드라인
• 일반적인 네크워크 환경하에서는 SESSION 사용율
은
톱니바뀌 모양이고 , SYN 사용율은 일정한 수준의 높
이를 가짐
• TCP SYN Flooding, DoS, DDoS 와 같은 패킷이 발생
할 경우에 SYN 사용율이 급격하게 증가함으로 점검이
필요함
Packet Average(Bytes)
화면설명
• 백본 링크의 패킷 평균 사이즈
가이드라인
• 일반적으로 Web 을 이용하는 네트워크 환경에서의
패킷 평균사이즈는 700byte 대임
• P2P 나 스트리밍 데이터와 같이 대용량의 트래픽인
경우의 패킷 평균사이즈는 800byte 임
• 웜 , 바이러스 , DoS, DDoS 와 같은 대규모의 소용량
트래픽인 경우의 패킷 평균사이즈는 600byte 미만임
• 패킷 평균사이즈가 600byte 미만으로 지속적인 값을
보여준다면 트래픽의 패킷을 점검할 필요가 있음

7. ETMforNetwork Traffic Management
ETM(eNClue Traffic Monitor) 화면 설명과 운영 가이드라인
Protocol
화면설명
• 백본 링크의 TCP, UDP 등 프로토콜 사용 점유율
가이드라인
• 일반적인 네크워크 환경하에서는 TCP 가 다른 프로토
콜에 상대적으로 높은 비율을 보이며 , 대략 TCP 의 사
용 점유율이 70% 이상임
• TCP 가 아닌 다른 프로토콜의 사용이 높다면 , UDP 플
러딩 , ICMP 브로드캐스팅과 같은 비정상적인 프로토
콜의 트래픽을 점검해야 함
SYN/SESSION
화면설명
• 백본 링크의 SYN/SESSION 사용율
가이드라인
• 일반적인 네크워크 환경하에서는 SESSION 사용율
은
톱니바뀌 모양이고 , SYN 사용율은 일정한 수준의 높
이를 가짐
• TCP SYN Flooding, DoS, DDoS 와 같은 패킷이 발생
할 경우에 SYN 사용율이 급격하게 증가함으로 점검이
필요함
Packet Average(Bytes)
화면설명
• 백본 링크의 패킷 평균 사이즈
가이드라인
• 일반적으로 Web 을 이용하는 네트워크 환경에서의
패킷 평균사이즈는 700byte 대임
• P2P 나 스트리밍 데이터와 같이 대용량의 트래픽인
경우의 패킷 평균사이즈는 800byte 임
• 웜 , 바이러스 , DoS, DDoS 와 같은 대규모의 소용량
트래픽인 경우의 패킷 평균사이즈는 600byte 미만임
• 패킷 평균사이즈가 600byte 미만으로 지속적인 값을
보여준다면 트래픽의 패킷을 점검할 필요가 있음