스니퍼가 처음 국내에 상륙했을 때에는 일부 네트워크 관련 업계에 종사하는 사람들이나 네트워크에 관심있는 사람들 사이에서 해킹 도구로 많이 알려져 있었다. 이 말은 어떤 의미에서는 최근에 해커들 사이에서 많이 사용하는 일반 해킹 도구와 유사한 것인가 하는 의구심이 들지만, 스니퍼는 네트워크 이론을 바탕으로 통로에서 관측되는 패킷을 분석해 해당 네트워크에 존재하는 문제점을 파악, 그 원인을 제공해주는 도구라고 할 수 있다. 어떤 사용자들은 스니퍼가 단순히 네트워크 트래픽 관찰 도구라고만 알고 있지만, 스니퍼의 참된 모습은 다음 달에 연재할 전문 분석 기능인 Expert라고 할 수 있다. 앞으로 3회에 걸쳐 스니퍼의 사용법과 활용 방안에 대해 다룰 것이며, 그 첫번째로 이번 달에는 대쉬보드(Dashboard), 호스트 테이블(Host Table), 매트릭스(Matrix), 애플리케이션 응답 시간(ART, Application Response Time), 히스토리(History), 프로토콜 분포(Protocol Distribution) 등과 같은 다양한 네트워크 트래픽 관찰 기능의 사용 방법에 대해 매뉴얼에 없는 내용을 위주로 설명할 것이다. 스니퍼 설치시 유의사항우선 어댑터와 인터페이스 장비를 설정할 때 참고할 사항에 대해 알아본다. 스니퍼를 컴퓨터에 설치해 처음 실행하면 나타나는 화면이 네트워크 인터페이스 설정(Select Settings) 화면이다(화면 1). 이 화면에서 사용자가 원하는 인터페이스 장비를 선택해야 한다. 즉 일반 LAN 환경에서는 현재 설치된 LAN 카드만 선택하면 되지만, SnifferBook(WANbook), ATMBook과 같은 장비를 사용하려면, Netpod를 해당 장비에 맞게 선정해야 한다. 가장 많이 사용하는 스니퍼 인터페이스 장비는 SnifferBook과 ATMBook이기 때문에 여기에서는 일반 LAN, WAN 및 ATM 측정용 인터페이스 장비를 설정할 때 주의할 점들만 간단히 언급하겠다. 10/100 및 기가비트 LAN
10/100 NIC(Network Interface Card)는 일반 컴퓨터에 스니퍼를 설치한 후, (화면 1)에서 해당 카드를 선택하면 즉시 측정할 수 있지만, 현재 기가비트 이더넷 카드는 휴대용 장비인 Dolch나 원격 측정 장비인 DSS RMON 서버에만 설치할 수 있다. 때문에 기가비트 LAN을 측정하기 위해서는 Dolch나 DSS RMON 서버를 사용해야 한다.기가비트 LAN 카드에는 두개의 채널이 있다. 이 두 채널에 두 기가비트 장비의 TX 및 RX를 연결해 상호 교환하는 트래픽을 관찰할 수 있고, 각 채널을 다른 포트에 연결해 각 포트의 트래픽을 독립적으로 관찰할 수도 있다. WANBook스니퍼가 설치된 컴퓨터의 IP 주소가 10.1.1.1로 설정돼 있다면, ‘Netpod IP 어드레스’ 란에 자동으로 10.1.1.2(반드시 스니퍼가 설치된 컴퓨터의 IP보다 끝자리가 ‘+1’인 번호)가 등록돼야 한다. 만약 자동으로 등록되지 않는다면, 수동으로 해당 IP 주소를 입력한다.SnifferBook에 설치돼 있는 각각의 모듈에 대한 환경은 Monitor→Options 화면의 오른쪽 끝 부분에 추가돼 있는 각 모듈에 해당하는 탭에서 수행한다.ATMBookATMBook 설정은 윈도우 NT 또는 2000에서만 가능하다.ATMBook을 설정할 때 가장 주의해야 할 점은 각 시스템의 IP 배열이다. ATMBook을 이용해 ATM 트래픽을 관찰하려고 한다면, 기본적으로 3개의 IP 주소가 필요하며, 이 IP 주소들은 일반적인 사설 IP 주소를 사용하면 된다. 먼저 ATMBook과 연결하려는 컴퓨터의 NIC에 가장 낮은 IP 주소를 설정하자. 그 후, 가상 드라이버인 ATM LT2 드라이버에 물리적인 NIC에 설정된 IP 주소보다 끝자리가 ‘1’만큼 큰 IP 주소를 부여하자. 마지막으로 ATMBook에는 ATM LT2 드라이버의 IP 주소보다 끝자리가 ‘1’이 큰 주소를 부여해야 한다. 물론 Subnet mask는 모두 동일해야 하며, 기본 게이트웨이 (Default Gateway)의 IP는 0.0.0.0이라도 상관없다. 예:스니퍼가 설치된 컴퓨터의 IP 주소; 10.1.1.1 가상 드라이버의 IP 주소; 10.1.1.2 ATMBook의 IP 주소; 10.1.1.3스니퍼의 Select Settings에서 ATMBook을 설정할 때, netpod IP Address 항목에 입력하는 IP 주소는 반드시 ATMBook에 할당된 IP 주소와 동일해야 한다.ATMBook에 설치돼 있는 각각의 모듈에 대한 환경은 Monitor→Options 화면의 오른쪽 끝 부분에 추가돼 있는 각 모듈에 해당하는 탭에서 설정한다.참고적으로 말하면, 스니퍼용 NIC는 표와 같이 스니퍼 전용 카드나 권장하는 어댑터를 사용한다. 권장 사양에 있는 타사 어댑터 카드들에 해당하는 드라이버는 제품과 함께 제공되는 드라이버 대신 스니퍼에서 제공하는 확장 드라이버(Enhanced Driver)를 설치하도록 권한다. 확장 드라이버는 스니퍼가 설치된 디렉토리에 보면 ‘../Drivers’라고 하는 폴더 내에 있다. 확장 드라이버를 사용하면, 관측되는 패킷 손실이 거의 없으며, 물리 계층에서의 오류 또한 무리없이 검출해 낸다. 물론 다른 이더넷 어댑터를 사용해도 네트워크 트래픽을 관찰할 수 있지만, 스니퍼가 최대의 성능을 발휘하기 위해서는 NAI(Network Association Inc.)의 확장 드라이버를 사용해야 한다. 또한 성능 향상의 한가지로 네트워크 어댑터 설정 화면에서 수신 버퍼(receive buffer)의 크기를 높이는 방법도 있다.
대쉬보드, 전체 트래픽에 대한 정보 파악(화면 2)는 스니퍼의 대쉬보드 화면이다. 대쉬보드에서는 현재 스니퍼가 관측하고 있는 네트워크에서 발생되는 전체 트래픽 상태를 실시간으로 지켜볼 수 있다. 먼저 상단에 있는 게이지는 차량의 속도계처럼 초당 네트워크 대역폭 사용률, 발생되는 패킷수와 에러수 알 수 있다. 그리고 게이지 내부에 붉은 색으로 표시된 영역은 일종의 경계선이며, 바늘이 경계선을 넘게 되면, 스니퍼 알람에 등록돼 사용자가 지정한 방법으로 통보하게 된다. 물론 이 경계선은 사용자가 임의로 수정할 수 있다. 경계선을 조절하려면 게이지 상단에 있는 메뉴 가운데 Set Thresholds 메뉴를 클릭해 나타나는 Dashboard Properties 화면에서 해당 항목의 임계값을 수정하면 된다. 대쉬보드의 하단에 있는 Network, Detail Errors와 Size Distribution 그래프는 스니퍼 4.0 버전 이후에 추가된 것이다. 이 그래프들은 뒤에서 다룰 히스토리 그래프의 각각을 유사 항목별로 모아 한 화면에 표시한 것이라고 생각하면 맞을 것이다. 이 그래프들은 실시간으로 네트워크 상태를 점검하기 위해 대쉬보드 기능이 강화된 것이며, 히스토리 그래프에서처럼 파일로 저장할 수 있는 기능은 없다. 아래에 제시한 내용을 참고로 이 화면을 적절히 활용해 네트워크를 관찰하도록 하자.① 그래프 상단 우측에 Short Time 항목은 24분, Long Time 항목은 24시간 동안 네트워크 상태를 그래프에 표시하도록 하는 것이다. ② 그래프 내부에 있는 검은색 선은 current line이라고 하며, 그 선이 위치한 곳의 상세한 시간이 상단 중앙 부분에 표시된다. 이 선은 마우스 클릭으로 이동시킬 수 있으며, 좌측에 있는 두개의 화살표를 이용해 좌우로 이동시킬 수도 있다. 또한 3가지 그래프 내에서 동일하게 움직인다. ③ 두 화살표를 클릭할 때마다 Short Time으로 설정돼 있는 그래프에서는 30초 간격으로 current line이 이동하며, Long Time으로 설정된 그래프에서는 30분 간격으로 이동한다. ④ Current line을 적절히 이동시키면서 그래프들을 관찰하면, 대역폭 사용률이 급격하게 증가한 시간에 초당 패킷 발생율은 어느 정도인지, 에러는 얼마나 발생했는지, 어떤 에러들이 주로 발생했는지, 또는 그 시간대에 전송된 패킷들의 크기 등을 알 수 있다.⑤ 무선 LAN 측정용 Sniffer Wireless를 설치하면, 대쉬보드의 게이지 하단에 802.11이라고 하는 탭이 추가된다. 이 탭을 클릭하면, 아래와 같은 802.11b 네트워크에 대한 전체 통계 자료 및 관리(Management) 패킷, 제어(Control) 패킷에 대한 정보를 관찰할 수 있다.
호스트 테이블, 호스트별 트래픽 상태를 관찰호스트별 데이터 송수신 상태, 프로토콜 사용 현황, 대역폭 점유율, 특정 서버의 트래픽 상태를 실시간으로 관찰하려면 (화면 3)에 제시된 호스트 테이블 기능을 이용하자. 호스트 테이블이나 매트릭스 테이블을 보다 편리하게 관찰하려면 스니퍼의 툴 메뉴에 있는 주소록(Address Book)을 활용하자. 주소록에 각 호스트의 이름, MAC 주소 및 IP 주소등을 등록해 놓으면, 호스트 테이블 내에 있는 MAC, IP 계층에서 각 호스트의 주소들이 주소록에 등록된 호스트 이름이나 IP 주소로 보일 것이다. 또한 주소록은 나중에 파일로 저장해 보관할 수 있으므로 필요하다면 많은 주소들을 등록해 놓자. 상세한 주소록 사용법은 다시 설명할 것이다. 호스트 테이블의 좌측 도구 막대에는 트래픽 관찰을 위해 Outline, Detail, Bar, Pie 아이콘이 있으며, 특정 호스트에 대한 패킷을 관찰하거나 캡처하기 위해 Single Station과 Capture 아이콘이 있다. 이와 함께 필터를 정의해(Define Filter) 관찰하려는 호스트와 패킷을 제한할 수도 있다. 호스트 테이블 화면에서 사용할 수 있는 기능은 다음과 같다.
Outline과 Detail 화면은 일반 테이블 형식이기 때문에, 필요하다면 파일 변환기능인 Expert를 사용해 테이블에 있는 내용을 파일(csv, txt)로 변환할 수 있다.스니퍼의 주 메뉴인 Tools에 있는 옵션 설정 항목(Options)을 선택해 나타나는 옵션 화면의 General 탭 우측에 있는 테이블에는 각 모니터 도구들의 업데이트 간격이 정리돼 있으니 참조하자. Outline 화면에서는 마우스 오른쪽 아이콘을 클릭하면 해당 호스트에 대한 캡처, Ping, Trace Route 등 다양한 추가 메뉴를 사용할 수 있다.Bar와 Pie 아이콘을 클릭해 나타나는 그래프에서는 Properties 상자의 TopN Chart 탭에서 숫자를 입력하면, 최대 20개의 호스트에 대한 트래픽을 관찰할 수 있다.각 호스트에 해당하는 막대나 파이 조각에서 마우스 왼쪽 아이콘을 클릭하면, 상세한 정보를 볼 수 있다.막대 그래프의 상단과 좌우측 모서리 부분을 드래그해 그래프의 크기를 조절할 수 있으며, 파이 그래프에서는 각 조각을 드래그해 분리 시킬 수도 있다. Outline 화면에서 한 호스트를 선택하면 해당 호스트의 아이콘이 파란색으로 바뀌며, Capture, Define Filter 및 Single Station 아이콘의 기능을 사용할 수 있다. 여기에서 Capture는 선택된 호스트에 대한 패킷만 캡처하는 기능이다. Single Station은 그 호스트만의 통신 상태를 매트릭스 화면으로 관찰 할 수는 기능이며, 해당 호스트에서 마우스 왼쪽 아이콘을 두 번 클릭하면 동일한 화면이 나타난다.특정 호스트를 선택한 후 필터 정의 화면을 보면 Address 탭의 Station 1 항목에 해당 호스트의 정보가 자동으로 입력된다. 물론 Station 1과 Station 2에 대한 정보는 사용자가 임의로 수정하거나 추가 입력할 수 있다. 필터를 정의하기 전에 Profiles 상자에서 먼저 새로운 필터의 이름을 입력해 자신만의 필터를 구성하도록 하자.일반적으로 호스트 테이블 화면에서는 각 호스트별 트래픽 상태에만 관심을 가지고 관찰하지만, 뒷부분에 각 호스트에서 발생하는 에러 상황을 실시간으로 관찰할 수 있다. 매트릭스, 두 호스트 사이의 트래픽 상태를 관찰호스트와 호스트 사이에 송수신되는 데이터 양과 두 호스트는 어떤 프로토콜을 사용하는지, 서버에 접속된 사용자는 누구인지 등에 관한 정보를 실시간으로 관찰하려면 (화면 4)의 매트릭스 기능을 사용하자. 매트릭스 화면의 좌측에 있는 도구 막대에는 두 호스트 사이의 트래픽을 관찰하기 위한 항목으로 스니퍼 사용자에게 가장 인상적이었던 Map 아이콘이 있으며, 호스트 테이블에서처럼 Outline, Detail, Bar 및 Pie 아이콘 및 Capture, Define Filter 아이콘이 있다. 또한 주소록에 있는 내용을 참조해 MAC, IP 주소를 호스트 이름으로 자동 변환해서 표시한다. 매트릭스 화면에서 사용할 수 있는 몇 가지 기능은 다음과 같다(화면 4).
Map 화면에서 한 노드(호스트)를 선택하고 마우스 오른쪽 아이콘을 클릭하면 해당 노드에 대해서 활용할 수 있는 다양한 부 메뉴가 나타나며, 대표적으로 지정된 노드만 관찰하거나 맵에서 제외시킬 수 있다.Map 화면이 지나치게 복잡해지면 부 메뉴에 있는 Zoom 기능을 사용해 각 노드의 정보를 확인하자.Map 화면에서 두 노드 사이를 연결하는 선은 전송되는 데이터 양이 많아질수록 굵게 표시되며, 측정하고 있는 사이에 전송되는 데이터가 있으면 밝은 색으로 표시된다. 물론 표시되는 색상은 Properties 상자에서 바꿀 수 있다.Map 화면에 표시되는 실선 가운데 하나에 마우스 포인터를 가져가면 연결된 두 노드 사이의 상세한 트래픽 정보를 볼 수 있으며, 일반적으로 왼쪽이 발신지(source)이고 오른쪽이 도착지(destination)이다. Outline과 Detail 화면에 있는 내용은 필요한 경우, 파일로 변환할 수 있다.Outline 차에서 한 항목으로 선택하면 좌측에 작은 화살표가 표시되며, 이때에 해당 노드 사이의 패킷을 캡처할 수 있는 Capture 기능과 필터를 정의할 수 있는 Define Filter 기능을 사용할 수 있다.Outline 화면에 있는 항목을 선택해 Define Filter를 클릭하면, Address 탭의 Station 1과 Station 2에 두 노드에 대한 정보가 자동으로 추가된다. 각 호스트에 해당하는 막대나 파이 조각에서 마우스 왼쪽 아이콘을 클릭하면, 상세한 정보를 볼 수 있으며, 막대 그래프의 크기 및 파이 그래프의 조각 분리도 가능하다.ART, 애플리케이션과 서버의 응답 시간을 관찰애플리케이션 서비스를 제공하고 있은 서버의 응답시간의 최대, 최소 및 평균 응답시간을 실시간으로 관찰하려면 (화면 5)에 제시한 ART(Application Response Time) 기능을 사용한다. 이 기능은 스니퍼 4.0 버전 이후에 새로이 추가된 것이며, 더불어 Expert 화면의 서비스 계층에서 애플리케이션 응답시간에 대해 분석해 문제점을 지적해 주는 것이다. 스니퍼는 네트워크 상에서 관측되는 패킷을 기준으로 응답시간을 측정하기 때문에 구간별로 응답시간을 추적할 수는 없다. 구간별로 상세한 응답시간을 알기 위해서는 각 구간별로 에이전트를 설치해 응답시간을 확인해야 하는 제품을 사용해야 할 것이다. 스니퍼가 애플리케이션 응답시간을 두 가지 형태로 측정해 막대 그래프로 표시한다. 먼저 ART 화면의 좌측에 있는 도구 막대에서 Table View는 각 애플리케이션 서버와 클라이언트 사이에서 송수신된 패킷들의 응답시간 분포를 테이블 형태로 표시한 것이다. 아쉽게도 이 화면에 있는 내용은 파일로 변환할 수 없으며, Sniffer Reporter에서 테이블과 그래프 형태로 관찰할 수 있다. 두 번째 아이콘은 Server-Client Response Time이며, 특정 애플리케이션 서버와 한 클라이언트 사이의 응답 시간을 막대 그래프로 표현한다. 세 번째 아이콘은 Server Response Time이며, 이 화면에서는 각 서버들의 전체 응답시간을 막대 그래프로 표현한다. 이제 ART 화면을 구성하는 방법 및 기능 활용 방법에 대해 살펴보자.① ART의 Properties 화면에 있는 Server-Client, Server Only 탭에서는 막대 그래프 형태로 표시되는 두 아이콘의 표현 형식에 대해 정의할 수 있다. 여기에서 Show DNS Name은 해당 화면의 우측에 표시되는 IP 주소를 URL이나 호스트 이름으로 표시하도록 하는 기능이다.② 90% 응답시간은 서버에서 응답한 패킷의 상위 90%에 대한 응답시간이기 때문에 전체 평균 응답 시간과 차이가 난다. ③ ART 막대 그래프에는 최대 30개의 서버 및 호스트에 대한 응답시간 정보를 표시할 수 있다. Properties 화면의 각 탭에 있는 항목 가운데 Slow 항목에 1∼30까지의 숫자를 입력한다.④ Slow와 Sorted by 항목을 적절히 선택하면, 최대 응답시간이 가장 늦은 서버 또는 평균 응답시간이 가장 늦은 서버들에 대한 성능을 평가할 수 있을 것이다.⑤ Server-Client Response Time에서는 클라이언트의 IP 주소를 확인할 수 있기 때문에 서버가 위치한 지역에서 스니퍼로 트래픽을 관찰할 때, 어떤 지역에서 접속한 사용자의 응답시간이 늦어지는 가를 확인할 수 있다. 이것은 해당 지역으로의 전송 속도가 늦다는 것을 알 수 있다. ⑥ Server Response Time은 각 서버에 대한 전체 응답시간 분포를 확인할 수 있기 때문에 각 서버의 성능을 파악할 수 있다.⑦ ART를 처음으로 실행하면 하단에 오직 HTTP 탭만 보이게 된다. 다른 애플리케이션 서버의 응답시간은 관찰하기 위해서는 Properties 화면의 Display Protocols 탭에서 원하는 애플리케이션 프로토콜을 선택해야 한다. 선택된 프로토콜은 ART를 다시 시작하면 하단에 탭으로 추가된다. ⑧ Display Protocols 상자에 없는 프로토콜에 대한 응답시간은 어떻게 측정해야 하는가. 해당 프로토콜이 TCP나 UDP를 사용하는 프로토콜이라면, 스니퍼의 옵션 설정 화면에 있는 Protocols 탭에서 해당 프로토콜의 이름과 포트 번호를 추가한다. 이후에 ART 환경 설정 화면의 Display Protocols 탭의 프로토콜 목록에 추가돼 나타나며, 해당 프로토콜을 선택하면 된다.⑨ 그래프의 특정 막대에서 마우스 왼쪽 아이콘을 클릭하면 응답시간에 대한 상세 정보를 볼 수 있다. ⑩ 막대 그래프의 모서리를 드래그해 그래프의 크기를 조절할 수 있다.⑪ Table View 화면의 오른쪽 끝부분에는 재 전송된 패킷(Retries) 및 시간 초과로 버려진 패킷(Timeouts) 개수에 대한 정보를 볼 수 있다.⑫ 스니퍼 리포터가 있으면 응답시간에 대한 정보를 리포트 형식으로 상세하게 얻을 수 있다. ⑬ Monitor 필터를 정의해 특정 서버에 대한 트래픽만 관찰하도록 구성하면 시스템 부하를 분산시키는(load balancing) 장비의 성능을 시험할 수 있을 것이다.일정 시간 동안의 초당 패킷 전송률, 대역폭 점유율, 종류별 에러 발생률, 패킷 크기별 전송률을 관찰하기 위해서 (화면 6)에 제시한 히스토리를 사용한다.
히스토리를 통해 일정 기간의 네트워크 상태 파악히스토리는 앞에서 언급한 대쉬보드에 있는 정보를 항목별로 분리해서 관찰하는 기능이다. 따라서 각각의 작은 아이콘들을 더블 클릭하거나 원하는 아이콘을 선택한 후, 화면의 왼쪽에 있는 메뉴 바에서 Start Sample을 클릭하면 선택된 항목의 그래프 화면이 나타난다. Properties 화면에서 그래프의 모양을 막대(bar), 영역(area) 및 선(line) 형태로 표시하도록 설정할 수 있으며, 더불어 각각의 색상 및 샘플 간격을 수정할 수 있다. 히스토리 화면의 왼쪽에 있는 메뉴 바에서 Large icon, Small icon, List와 Detail 아이콘은 화면에 표시되는 아이콘의 배열 방법을 정의하는 것이다.원하는 아이콘을 선택해 나타나는 화면에 대해 살펴보자(화면 6). 먼저 해당 화면의 왼쪽에 있는 메뉴 바의 아이콘들은 표시되는 그래프의 모양을 다양하게 바꿀 수 있는 기능이며, 하단에 있는 Expert 그래프의 내용을 텍스트 파일(csv, txt)로 변환할 수 있는 기능이다. 해당 화면에 있는 그래프는 ‘xxx.hst’라고 하는 파일로 저장할 수 있으며, 저장된 ‘xxx.hst’은 스니퍼에서 다시 읽어 올 수 있다. 히스토리 기능을 활용하는 방법에 대해 살펴보자.① 필요하다면 하나의 화면에 여러 개의 항목에 대한 그래프를 동시에 표시하자. 한 화면에 여러 가지 그래프를 동시에 표시하려면 히스토리 주 화면의 메뉴 바에 있는 Add multiple history 기능을 사용한다. 이 아이콘을 클릭하면, Multiple History라고 하는 대화 상자가 나타난다. 이 상자의 General 탭에서 이름과 샘플 간격을 입력하고 Selection 탭에서 New(Insert) 아이콘을 클릭해 원하는 항목을 추가하거나 Delete 아이콘을 클릭해 기존 항목을 삭제할 수 있다. 모든 설정이 끝나면 히스토리 주 화면에 새로운 아이콘이 생성된다.② 각 항목의 총 샘플 개수는 3500개로 제한돼 있으며, 기본적으로 3500개의 샘플이 작성되면 자동으로 측정이 끝난다. 끝내지 않고 버퍼에 중복해 측정하려면 Properties 화면에서 Wrap Buffer when full 항목을 선택하면 된다. ③ 총 샘플의 개수가 3500개로 제한돼 있기 때문에 샘플 간격(Sampling Interval)을 1에서 3500까지 적절히 조절하면, 원하는 시간만큼의 샘플을 얻을 수 있다. 즉, 샘플 간격을 5초로 설정하면, 3500x5=17500초(약 5시간) 동안의 샘플을 얻을 수 있다. ④ 그래프 하단에는 측정되는 시간, 샘플 간격 및 버퍼 동작에 대한 정보가 표시된다.⑤ 각 그래프의 하단에 있는 이동 아이콘을 드래그해 화면을 이동시키면, 측정된 데이터들을 표시할 것이다.⑥ 그래프 내에서 마우스 왼쪽 아이콘을 클릭하면 그 지점의 시간 및 데이터 정보를 볼 수 있다. ⑦ 그래프의 상하, 좌우 모서리를 드래그해 그래프의 크기를 조절할 수 있다. ⑧ Runt, Oversize, Fragment, Jabber, CRC, Alignment, Collision은 모두 측정된 패킷에서 발생한 에러들이다. 각 항목에 대한 상세 정보는 스니퍼의 도움말을 참조하기 바란다. ⑨ 스니퍼의 옵션 설정 화면에 있는 MAC Threshold에 지정된 값들을 알람을 위한 값들이며, 하단의 Monitor Sampling 간격으로 트래픽을 관측해 한계 값을 초과하면 지정된 알람 통보를 하게 된다. 이곳에 지정된 값과 히스토리 항목들에 지정된 값은 독립적으로 적용되며, 히스토리 항목에 지정된 한계 값들은 해당 항목이 실행되지 않은 동안에는 의미가 없다.
프로토콜 분포도로 프로토콜별 상세 정보 획득우리의 네트워크에서는 어떤 프로토콜들이 사용되고 있을까, 전체 트래픽에서 각 프로토콜이 차지하는 비율은 어느 정도일까, 불필요한 프로토콜은 없는가, 지나치게 많이 사용되는 프로토콜은 무엇인가 등에 대한 내용을 실시간으로 관찰하려면 (화면 7)에 제시한 프로토콜 분포도를 사용한다. 프로토콜 분포도는 현재 측정 중인 네트워크에서 사용하는 모든 프로토콜에 대한 전송량을 그래프 및 테이블 형태로 표시한다. 스니퍼는 공식적으로 사용하는 프로토콜을 거의 모두 인식할 수 있으며, 단지 사용자가 임의로 구성한 프로토콜은 Other라는 영역에 표시한다. Other로 표시되는 것은 어떤 프로토콜인가에 알아내는 방법은 패킷을 캡처해 해당 포트를 찾아서 알아내야 하기 때문에 다음 달의 Expert 기능에서 설명할 것이다. 프로토콜 분포도와 글로벌 통계치는 다른 기능들에 비해 비교적 단순하기 때문에 간단하게 몇 가지만 언급하겠다. ① 앞에서 언급했듯이 막대 그래프의 크기와 파이 그래프의 조각 이동이 가능하다.② 왼쪽에 있는 메뉴 바의 중간에 있는 Packets과 Bytes 아이콘은 막대 그래프의 y축 스케일이나 막대 및 파이 그래프를 클릭했을 때 표시되는 상세 정보를 패킷 또는 바이트 수로 표시하도록 하는 기능이다. 테이블과는 관련 없다.③ 테이블에 있는 정보는 하단의 Expert 아이콘을 클릭해 텍스트 파일로 저장할 수 있다.
글로벌 통계치, 전체 트래픽 정보 파악측정되는 동안 네트워크 대역폭 사용 현황 및 패킷 크기별 분포를 막대나 파이 그래프로 관찰하려면 글로벌 통계치를 살펴보자. 글로벌 통계치 화면에서는 대역폭 사용률과 패킷 크기별 분포에 대한 정보를 막대 그래프와 파이 그래프로 표시한다. 대쉬보드의 게이지 및 하단에 있는 그래프를 통해 관찰할 수도 있지만, 그래프 형식이 필요한 경우에 사용하도록 하자. 글로벌 통계치 화면에서 몇 가지 알고 넘어가야 할 점은 다음와 같다.① 기가비트 LAN 측정용 스니퍼에서는 글로벌 통계치 화면의 하단에 기가비트에 대한 통계 자료를 볼 수 있도록 탭이 추가돼 있다. 이 탭을 클릭하면, 기가비트 장비의 각 채널 당 트래픽 발생 상태를 그래프와 테이블 형식으로 실시간 관찰할 수 있다. ② Sniffer Wireless의 글로벌 통계치 화면에도 하단에 802.11이라는 탭이 추가된다. 이 탭에서는 802.11b 네트워크의 채널별 트래픽을 관찰할 수 있다. 다음 달에는 스니퍼의 가장 핵심 기능인 Expert에 대해 설명할 것이다. 사용자들이 가장 어려워하는 기능인만큼 많은 정보를 공유할 수 있도록 준비할 것이다. @
