: Ð í û :, Ñ,, Ð Ð : ÿ : í û : ÿ 453 DPNM : 790-784 : 054-279-5654 : {padosori, jay, brcho, jwkhong}@ postech.ac.kr
Ð í û, Ñ,, Ð {padosori, jay, brcho, jwkhong}@ postech.ac.kr Í î í Ð Ì ý í ý. í û í Ð ý. Ì Ð í Ð ý Ðíû í ý ý. ý íû WebTrafMon II ý. WebTrafMon II Ð,, WebTrafMon Ð í,, í ý. 1. í ý. í í í þ ÿ Ð í û ý. í Ð ý í û Ð í ý., tcpdump [3] í û ntop [4] í ûð û ý., Ð í Ð í ý. Ð í Ð ý í íû Ì WebTrafMon II ý. WebTrafMon II Ð WebTrafMon [1] Ð,, í Ð ý. WebTrafMon Ð í Ð Ð í û ý í ýý. WebTrafMon II WebTrafMon ý ÌÐ Ð í ý., í ý. 2. í Ð ý. í Ð ý ý. 2.1 Ntop ntop Deri Luca 1998ïÍ í û ý. ntop network top û top í û ý ý. ntop Ð,,
ý. Ð ý. ntop Ð ý. ntop 24 Ð í Ð ý. Ð í Ð æð í ý ý. 2.2 MRTG MRTG(Multi-Router Traffic Grapher) [5] í 5 ý 1ï ýí ý. Ð í Ð û C Perl û û NT ý. MRTG snmp MIB ý. Ì MRTG í ÿ,, ý ý. ý í í Ð þ ý. 2.3 Ethereal ethereal [6] í Ì ý. GTK+Ð û X MS ý. ý ý. Gerald Comb 50 Ì Ô ý. ethereal í û Ì Ð í û ý. 2.4 NNStat NNStat [7] Robert T. Braden Annette L. DeSchon 1988ï release 2.2 Ì í Ð í ý. NNStat SAA(Statistics Acquisition Agent) SCH(Statistics Collection Host) ý. SAA íí SCH ý. SAA SAA SCH æ ý. SAA Ð ý. NNStat SunOS 4.0 NIT(Network Interface Tap) ý ý. 2.5 UniMon OSI 7 UniMon [8] NNStat í ý. UniMon í þ Ì Ð í þ ý. 2.6 Ð tcpdump tcpslice [9] í tcpslice ý í ý. sop [10] Etherfind SunOS 5.x Ðý. sop tcpdump Ð Ð ý. Ì argus [11], arpwatch [12], nsfwatch [13], drawbridge [14] í Ð í Ð í û ý. MS Ì ewatch [15] sniffer pro [16] Ì ý. ewatch sniffer prot Ì UI Ð í ý. 2.7 Ì æ ý 1 ý. MRTG ntop ethereal tcpdump sop NNStat UniMon tcpslice argus arpwatch nfswatch drawbridge ewatch sniffer pro WebTrafMon,,,, þ,,, 1. í Ð Ð Ð
1 õ ý. ý ý. 1 ý. í Ð ý. 1 Ð Ìý ý. Ð í MRTG MRTG ý. Ð í Ì WebTrafMon II,,, þ, ï ý. Ì NNStat UniMon Ð í ý. 3. í í (WWW) ýíì í ý. í í Ð û í í ý. í Ð í Ðí í,, ý. Ì tcpdump Ð Ð,, Ì í ÿ, Ðý. í û Ðý ý. 1) ý. í Ì í ý. 2) (e.g, arp, ip, udp, tcp) (e.g, ftp, snmp, telnet) ý. ý. 3) Ð ý. Ð ý. 1), 2), 3) í Ð ntop WebTrafMoný. ntop Ð Ð Ð WebTrafMon Ð ý 1), 2), 3) ý. Ì ntop WebTrafMon Ð í ý. è ntop WebTrafMon í Ð 24 Ð ý. Ð í Ð ûý, þ ý, ï ý í ý. Ð í í Ð MRTG MRTG í 1), 2), í ý ý. ntop WebTrafMon õ í ý. õ í Ð ý í ý. NNStat [13] í Ð ý. Ì NNStat SunOS 4.* NIT(Network Interface Tap)Ð SunOS 4.* ý ý. ntop WebTrafMon ý.ntop ý ý. 1), 2), 3) ý ý. 4) í,, þ, ï ý Ð ý. 5) í í
ý. 6) ý. 1), 2), 3) û 4), 5), 6) íû ý. 4), 5), 6) Ð ý ý.,, õ í ý. 4. Ð WebTrafMon II ý. Ì 1 ý. Œ Œ Œ Œ Œ Œ Œ Œ Œ Œ Œ Œ ˆŠ Œ G Œˆ Œ G ˆ ˆ ˆ Œ ˆ ˆ ˆšŒ š ˆ š ŠšG Œ ž G ˆŠG ˆ ˆ O œ SG ˆ SG SG Œˆ P žœ GŒžŒ œšœ Ì 1. WebTrafMon II Ì 1 WebTrafMon II (probe),, þ, ï ý (analyzer), Ì (web viewer) ý. 4.1 (probe) í Ì ý. Ì 2 î Ì æ ý. Ethernet 46-1500 bytes Dst Src addr addr Type data CRC 6 6 2 4 Type Protocol IP Src addr Dst addr 0800 06 IP data 2 4 4 1 TCP Protocol srcport dst port TCP data 06 1 2 2 Log format time lengthether_type src_ip dst_ip protocol src_port dst_port 4 2 2 4 4 1 2 2 (byte ) Ì 2. Ì Ì time Ì length Ð CRC (4 ) ý. time length ether_type î src_ip, dst_ip, protocol IP, src_port, dst_port TCP/UDP ý. Ì 0 ý., ARP IPÐ ü time, length, ether_type src_ip, dst_ip, protocol, src_port, dst_port 0 ý., ICMP IPÐ time, length, ether_type, src_ip, dst_ip src_port, dst_port 0 ý. 0 TCP/UDP TCP/UDP 0 í 0 ý. Ì 1 í ý. ý. Ì Ð ý Ì Ì ý. 4.2 (analyzer) ç IP n IP Ì Ð æ,, þ, ï DBÐ õý. Ì 3 ç ý.
ŽG Œ ki network_table transport_table õ ý. Ì 5 raw í hourly, daily, monthly, yearly çý. ŽG Œ ˆž ˆ Œ Œˆ Œ ž ˆ Œ Œ pu{ œ Œ ž ˆ Œ ŽG Œ ˆ ˆ ˆšŒ Œ Ž Œ Œ Œ š Š š Š pu{ pu{ œ œ ˆ Œ Œš ˆŠ Œ š }hyjohyoywp }hyjohyoxwwp Œˆ œ ˆ Œ Œš ˆŠ Œ š }hyjohyoywp }hyjohyoxwwp Ì 3. ç ý Ì Ì Ð Ì í ý. Ì DBÐ ý,, ý. Ì ý ý, þ ý, 1ï ý æ ý. Ì 4 ÌÐ DBÐ í æý. ˆž ˆ Œ s ŽG Œ ˆž ˆ Œ š Š š Œ Œ Ž ˆž ˆ Œ pu{ Œ Œ Œ ˆ œ ˆ Œ Œš ˆ Œ ž ˆ Œ }hyjohyoywp }hyjohyoxwwp ˆŠ Œ š Œ ž ˆ Œ œ ˆ Œ Œš }hyjohyoywp }hyjohyoxwwp ˆŠ Œ š Ì 5. 4.3 (web viewer) ç æ,, þ, ï í ý. æ,, þ, ï õ ý. Ì 6 ý. œ ˆ ˆ œ ˆ ˆ šœ ŒŠŒŒ ˆ Q ˆ Œ œ ˆ ˆ ŒŸŠ ˆ ŽŒ ò œ ˆ ˆ ˆ š Q ˆ Œ Q œ G ˆ Œ ] œ ˆ ˆ ˆ Šˆ ã œ ˆ ˆ Œ ž Œˆ Q ˆ Œ Ì 4. ç Ì Ð Ì raw_ip_table raw_n_ip_table ý. raw DBÐ,, hourly æý. Ìý hourly æ daily, monthly, yearly ý. data_sent_table, data_received_table, data_exchanged_table 3 õ ò ã á á Ì 6. Ì 6,, þ, ï í,, ý.
5. WebTrafMon II ý. Ð ý. ý. ý. ý í Ð ý. Ì 7 WebTrafMon II ý. probe probe umzg Œš analyzer probe database web viewer pu{lyul{ Ì 7. WebTrafMon II Ì 7 í NFS Ì ý. Ì ç ý. Ì, ç, NFS ý. 5.1 (probe) Ð libpcap promiscuous ý. libpcap û ý API ÿí Ð ý. libpcap Ð WebTrafMon II ý ý. time,, þ, ïû ÿ ý. ý Ð Ì ý. Ì ç Ì ý. Ì ë õ Ì ë ý æ Ð ý ë ý. 5.2 (analyzer) ç C mysql ý. ç ë IPÐ n IPÐ õ ý. ç,, þ, ï í unix cron,, þ, ï ý ç ý. Ð TCP/UDP ý. ý Ð ý. Í ý. 5.3 (web viewer) í Ð C gd í Ì Ì ý. æ þ Ð C-CGI ý. 6. ý. ý Ì 8 ý.
Ì 8. Hour View Ì 8 Ì í ý. 2001ï 3 11 20 ý 3 11 ý. Ì 8 Data Sent Ì 9 3 11 20 æ 10 ý. Ì 9 141.223.82.171 2001ï 3 11 20 í ç ý. Ì 9. 2001ï 3 11 20 Data Sent 7. WebTrafMon II í Ð ý. WebTrafMon II ý í Ð þ ý, þ, ï ý Ð í í ý ý. ý. í Ð æ Ð ý., ý. ç ý. [] [1], Ñ, Ð, Ð î/ î í û, KNOM Review 2 1, 1999 ï 4, pp.1-10. [2] R. Enger and J. Reylds, FYL on a Network Management Tool Catalog, IETF RFC 1470, June 1993. [3] Lawrence Berkley National Laboratory, tcpdump 3.6, http://www.tcpdump.org. [4] L. Deri and R. Carbone, Monitoring Networks Using Ntop, Released paper in http://luca.ntop.org, Jan 29th 2001. [5] Tobias Oetiker and Dave Rand, MRTG: Multi Router Traffic Grapher, http://www.mrtg.org. [6] Ethereal Homepage, http://www.ethereal.com. [7] Robert T. Braden and Annette L. DeSchon, NNStat: Internet Statistics Collection Package, USC/Information Sciences Institute Marina del Rey, Califormia, November 28, 1988. [8] Werner Erhard, Michael M. Gutzmann and Hastings M. Libati, Network Traffic Analysis and Security Monitoring with UniMon, Proceedings of the IEEE Conference on, 2000, pp.439-446. [9] Lawrence Berkeley National Laboratory, tcpslice-1.1a3, ftp://ftp.ee.lbl.gov/tcpslice.tar.z. [10] sun s sop web page, http://www.sun.com/products/sunray1/tssysmon.html. [11] Carter Bullard, argus-1.7.beta.1b, ftp://ftp.sei.cmu.edu/pub/argus. [12] Lawrence Berkley National Laboratory, arpwatch 2.0, ftp://ftp.ee.lbl.gov/arpwatch.tar.z. [13] Dave Curry and Jeff Mogul, nfswatch-4.3, ftp://ftp.lip6.fr/pub2/networking/nfs.
[14] David K. Hess and Douglas Lee Schales, David R. Safford, drawbridge 2.0, http://www.certcc.or.kr/tools/index.html. [15] ewatch homepage, http://ewatch.hangkong.ac.kr. [16] sniffer pro homepage, http://www.softseek.com.