KR100628479B1 - 통합형 네트워크분석시스템 및 이를 이용한 교육실습방법 - Google Patents

Abstract

본 발명은 종합적인 네트워크관리를 위한 통합형 네트워크분석시스템과 이를 이용한 교육실습방법에 관한 것으로서, 이는 이더넷 환경에서 TCP/IP(Transmission Control Protocol-Internet Protocol)를 기반으로 하는 인터넷 통신프로토콜 통합형 분석장비로 망 관리, 프로토콜분석 및 패킷의 차단을 제공할 뿐만 아니라 데이터통신실습을 위한 교육용 패키지까지 통합적으로 지원하는 통합형LAN(Local Area Network)프로토콜 분석시스템에 관한 것이다.

이를 위한 본 발명은, 연결 및 선로상태에 대한 세부적인 내용과 점검을 구현하는 연결 및 선로상태점검모듈, 네트워크 상의 총체적인 데이터베이스를 구축하고 분석하여 전체적인 네트워크의 상태를 감독하는 네트워크 분석모듈, 네트워크 상에 구현되는 프로토콜을 분석하는 것으로 패킷의 구성 프로토콜과 세부내용의 분석 및 성질등을 분석하는 것을 내용으로 하는 프로토콜 분석모듈, 그리고 프로토콜 특성을 이용하여 특정한 성격의 프로토콜이나 패킷의 성격을 정의하여 이를 통제하는 프로토콜 제어모듈로 구성되어; 인터넷에 접속되는 네트워크 인터페이스카드가 상기 네트워크 분석모듈에 연결되고, 상기 네트워크 분석모듈과 연결 및 선로점검모듈이 프로토콜 분석모듈에 연결되어 상기 프로토콜 제어모듈이 상기 네트워크 인터페이스카드로 연결된 것을 그 특징으로 한다.

통합형 네트워크분석기, LAN프로토콜 분석시스템, 통합형 네트워크분석시스템, 네트워크분석시스템을 이용한 교육실습방법

Description

통합형 네트워크분석시스템 및 이를 이용한 교육실습방법{LAN PROTOCOL ANALYZER SYSTEM and EDUCATING METHOD}

도 1은 본 발명의 실시예에 따른 통합형 네트워크 분석시스템을 도시한 블록도,

도 2a및 도2b는 본 발명의 통합형 네트워크 분석시스템을 도시해 놓은 기본 설치환경 및 전체 수행흐름도,

도 3a내지 도 3s는 프로토콜 분석모듈을 이용하여 도시되는 PC 화면들,

도 4a내지 도 4g는 프로토콜 제어모듈을 이용하여 도시되는 PC 화면들,

도 5a내지 도5c는 프로토콜 제어모듈에서 TCP 연결차단의 설치 환경과 원리의 개념도,

도 5d는 프로토콜 제어모듈에서 TCP 연결차단의 설치 환경과 원리패킷 필터링 절차를 도시해 놓은 절차 흐름도,

도 6a내지 도6p는 네트워크 분석모듈의 SNMP 기능을 이용하여 도시되는 PC 화면들,

도 7a내지 도7z는 네트워크 분석모듈의 NMS 기능을 이용하여 도시되는 PC 화면들,

도 8a내지 도8h는 연결 및 선로점검모듈을 이용하여 도시되는 PC화면들,

도 9는 프로토콜분석시스템의 절차 흐름도,

도 10은 본 발명의 통합형 네트워크 분석시스템을 이용한 교육실습방법을 설명하기 위한 전체 수행흐름과 교육용 패키지연계를 도시해 놓은 흐름도,

도 11a내지 도 11d는 교육용 프로그램 제작실습 과정의 블록도와 흐름도,

도 12는 네트워크 시뮬레이션실습 과정의 블록도,

도 13및 도 14는 네트워크의 제어실습 과정의 블록도 및 흐름도,

도 15는 네트워크 기본 이론 실습의 다중화 및 역다중화 개념 설명을 위한 개념도,

도 16은 다중화 및 역다중화 실습을 위한 프로토콜 분석 시뮬레이션의 흐름도,

도 17a내지 도 17p는 다중화 및 역다중화 실습을 위한 실습과정과 데이터링크층 분석과정,

도 18a내지 도 18b는 다중화/역다중화에서의 바이트오더 시뮬레이션의 흐름도 및 개념도,

도 19a및 도 19b는 다중화/역다중화에서의 바이트오더 시뮬레이션을 나타낸 PC화면들,

도 20은 프로토콜 분석 실습 내용을 설명하기 위한 흐름도,

도 21a내지 도 21m은 프로토콜 분석 시뮬레이션 프로그램을 이용한 PC화면들,

도 22a내지 도 22c는 교육용 프로토콜 분석기에서 도시되는 PC화면들,

도 23a내지 도 23b는 ARP 시뮬레이션 실습을 설명하기 위한 개념도 및 흐름도,

도 24a내지 도 24d는 ARP 시뮬레이션 실습 프로그램을 이용한 PC화면들,

도 25a내지 도 25z는 IP 시뮬레이션 실습 프로그램을 이용한 PC화면들,

도 26a내지 도26d는 ICMP프로그램 제작실습을 나타낸 PC화면들,

도 27a내지 도 27g는 트레이스 라우터 제작실습을 나타낸 PC화면들,

도 28a내지 도 28c는 트레이스 라우터 제작실습을 나타낸 PC화면들,
도 29a내지 도 29c는 3 웨이 핸드세이킹 시뮬레이션 실습을 나타낸 PC화면들,
도 29d는 3 웨이 핸드세이킹 시뮬레이션 실습을 나타낸 흐름도,
도 29e내지 도 29g는 3 웨이 핸드세이킹 시뮬레이션 실습을 나타낸 PC화면들,
도 30a내지 도 30d는 교육용 프로토콜 제어모듈 작성실습을 나타낸 PC화면들,
도 31a는 트래픽제너레이션 실습을 나타낸 흐름도,
도 31b내지 도 31e는 트래픽제너레이션 실습을 나타낸 PC화면들이다.

* 도면의 주요부분에 대한 부호의 설명 *

10 : 연결 및 선로상태 점검모듈 20 : 네트워크 분석모듈

30 : 프로토콜 분석모듈 40 : 프로토콜 제어모듈

50 : 인터넷 60 : 네트워크 인터페이스카드

본 발명은 종합적인 네트워크관리를 위한 통합형 네트워크분석시스템과 이를 이용한 교육실습방법에 관한 것으로서, 더욱 상세하게는 이더넷 환경에서 TCP/IP를 기반으로 하는 인터넷 통신프로토콜 통합형 분석장비로 망관리, 프로토콜분석 및 패킷의 차단기능을 제공할 뿐만 아니라 데이터통신실습을 위한 교육용 패키지까지 통합적으로 지원하는 LAN프로토콜 분석시스템에 관한 것이다.

현재, 인터넷/인트라넷의 열풍 속에서 많은 부분의 업무를 네트워크에 의존하고 있는 바, 그 중 전자우편 및 WWW(World Wide Web)은 기본이고 그룹웨어, 그리고 클라이언트/서버에 의한 업무처리 방식의 도입으로 네트워크의 중요성이 날로 높아지고 있는 실정이다. 뿐만 아니라, 네트워크의 대형화와 복잡화, 네트워크를 이용한 업무의 증가 등으로 네트워크 관리에 대한 중요성이 부각되고 있다. 이러한 상황에서 네트워크의 오류 발생이나 속도 저하로 인해 업무 처리가 늦어진다면 이것은 정보통신에 관한 사회적 생산기반의 문제이다. 따라서 네트워크 오류 발생시 신속한 대처는 기본이고, 발생 가능성을 사전에 제거하는 것이 중요한 것이다.

종래 상기 네트워크 관리에 이용되는 프로토콜으로는 SNMP(Simple Network Management Protocol), CMIP(Common Management Information Protocol) 그리고 트래픽을 관찰,분석하기 위해 이용되는 RMON(Remote network MONitoring)등이 있다. 그리고, ICMP(Internet Control Message Protocol)의 핑(ping)을 이용하여, 종단간 장비간의 연결상태 등을 파악할 수 있었다. 그러나 이는 단순하게 상대방 호스트가 작동하고 있는지에 대한 정보나 응답 시간을 측정하는 등의 기능만을 제공하는 한계점이 있었다.

상기 프로토콜들을 이용하는 종래의 네트워크 분석 및 관리 프로그램은 개별적이며, 이에 따른 제한적인 기능 위주였다. 즉, 구체적으로 프로토콜을 분석하는 제품군, 네트워크의 흐름을 제한적으로 차단 및 제어하는 제품군, 전체적인 네트워크의 구성과 네트워크의 상태를 분석하는 제품군, 그리고 선로의 연결상태를 점검하는 제품군으로 구분되어지고, 이를 개별적으로 활용하였다.

그러나, 이러한 구성은 각각의 특성이나 역할에 따라 독자적으로 동작하고 있는 바, 제공되는 기존의 기능이외에 그것을 가공하고 분석하여 새로운 데이터를 생성하거나 다른 제품군의 동작의 기반 데이터베이스로서 존재하지 못하는 현실이었다. 오늘날은 인터넷에 접속되는 호스트가 대폭적으로 증가하고 네트워크의 구성이 복잡해지면서, 관리에 있어 새로운 복합적 데이터를 요구하며, 이에 따라 이러한 제품군들에 대한 연계 및 연동을 꾀하여 언급하였던 단점을 극복하는 통합형 네트워크 분석제품모델을 요구하게 되었다.

아울러 상기 통합형 네트워크 분석제품 모델을 통하여 종래의 단편적인 문자 위주의 네트워크 교육 방법에 덧붙여, 실제 네트워크 상에서의 분석 및 실험을 가능하게 함으로써 입체적인 교육을 실현하고 고급 실무에서 필요로 하는 핵심인력육성에 대한 방안이 필요한 실정이었다.

본 발명은 상기와 같은 제반 사정을 감안하여 새로운 네트워크 분석도구의 모델을 창안한 것으로, 하나의 제품군에서 산출되는 데이터는 다른 제품군을 제어하는 기초가 되거나 복수의 제품군이 각각의 분석결과를 바탕으로 하여 독자적으로 생산할 수 없는 데이터를 산출하는 것을 내용으로 하는 종합적인 네트워크 관리를 위한 통합형 네트워크 분석시스템을 제공함에 그 목적이 있다.

또한, 본 발명의 통합형 네트워크 분석시스템을 이용한 교육실습방법으로는 개선된 입체적이고 실질적인 네트워크 교육방법을 제시하고, 종래의 이론학습은 물론 이러한 통합환경을 통하여 프로토콜을 분석하고 그것에 부합하는 패킷을 생성 및 제어할 수 있으며, 이러한 데이터들을 실제 네트워크에 전송하므로 발생하는 다양한 현상을 네트워크의 분석을 통하여 시각적으로 확인할 수 있어, 모든 제어 상황들에 대한 조성과 측정이라는 인과론적인 구조를 제공하여 보다 전문적인 인력 양성과 실험을 위한 가상의 네트워크 구성에 소요되는 비용을 절감함에 그 목적이 있다.

상기 목적을 달성하기 위한 본 발명은, 연결 및 선로상태에 대한 세부적인 내용과 점검을 구현하는 연결 및 선로상태점검모듈, SNMP프로토콜을 이용하여 네트워크 망상의 총체적인 데이터베이스를 구축하고 분석하여 전체적인 네트워크의 상태를 감독하는 네트워크 분석모듈, 네트워크 망상에 구현되는 프로토콜을 분석하는 것으로써 패킷의 구성 프로토콜과 세부내용의 분석 및 성질 등을 분석하는 것을 내용으로 하는 프로토콜 분석모듈, 그리고 프로토콜 특성을 이용하여 특정한 성격의 프로토콜이나 패킷의 성격을 정의하여 이를 통제하는 프로토콜 제어모듈로 구성되어; 인터넷에 접속되는 네트워크 인터페이스카드가 상기 네트워크 분석모듈에 연결되고, 이 네트워크 분석모듈과 연결 및 선로점검모듈이 프로토콜 분석모듈에 연결되어 상기 프로토콜 제어모듈이 상기 네트워크 인터페이스카드로 연결됨으로 독자적인 실행뿐만 아니라 상호 연계 및 연동동작이 수행된 것을 특징으로 한다.

상기 네트워크 분석모듈에서 네트워크 대역이 입력되어 SNMP데이터를 검색하고, 연결 및 선로점검모듈에서 핑을 통한 연결상태를 검사한 다음 서브넷이 존재하지 않는가를 통해 전체적인 네트워크구성을 인식하며, 프로토콜 분석모듈에서 인식된 네트워크상의 패킷을 분석하고, 프로토콜 제어모듈을 통해 네트워크 흐름의 저해 요인여부를 판단하여 패킷의 흐름을 차단한 것을 특징으로 한다.
상기 모듈들은 각각의 특성을 가지는 작업을 독자적인 실행, 상호 연계 및 연동동작을 수행하고, 이를 이용하여 교육용프로토콜분석기 설계, 시뮬레이션 설계의 실습이 가능한 교육패키지가 더 포함된 것을 특징으로 한다.
SNMP를 이용하여 획득한 MIB 자료에 대하여 상기 프로토콜 분석모듈에서 자체적으로 통계한 수치를 비교 및 검토하여 보정된 것을 특징으로 한다.
프로토콜 분석모듈의 분석결과 프로토콜 분석용 교육프로그램으로 실제 패킷을 분석하고, 학습을 바탕으로 한 가상패킷을 생성한 다음 통합형 네트워크분석시스템을 통해 실제 네트워크에 전송하여;
상기 통항형 네트워크 분석시스템의 프로토콜 분석모듈을 통해 제대로 전송되는지를 검사하고, 가상패킷생성기와 교육용트로토콜분석기를 통해 작성 실습한 다음 통합형 네트워크분석시스템을 통해 검증하며;
네트워크 시뮬레이션 및 네트워크 제어를 작성한 다음 통합형 네트워크분석시스템을 통해 검증하는것을 특징으로 한다.
상기 교육용프로그램 제작실습은, CRawPacketEdu, CPacketGen 및 ICMPSocket 라이브러리로 된 프로그램라이브러리모듈과, 교육용 프로토콜제어기, 교육용 프로토콜분석기 및 교육용 네트워크분석기로 된 프로그램소스를 통해 교육용 실습프로그램으로 수행한 것을 특징으로 한다.
상기 프로그램 라이브러리모듈 및 프로그램소스를 통해 프로토콜분석/제어 및 네트워크 분석에 필요한 요구사항을 입력하고, 교육용 실습 프로그램을 통해 프로토콜 분석 및 제어를 행하며, 실제 통합형 네트워크 분석시스템을 통한 검증을 수행한 것을 특징으로 한다.
상기 네트워크 시뮬레이션실습은 다중화/역다중화 가상실습모듈, 인터넷 프로토콜 가상설계모듈, 바이트오더 가상실습, 프로토콜 테스터실습모듈로 구성되어 각각의 개별 모듈별로 가상의 네트워크 실습환경을 가상으로 제공하는 통합형 네트워크 분석시스템을 이용한 교육실습방법이다.
상기 네트워크 제어실습은, 트래픽 제너레이션작성실습, TCP/IP 3웨이 핸드세이킹, ARP요청/응답작성실습 및 ICMP기반 트레이스 라우터 작성실습으로 이루어진 것으로 프로토콜별로 진행의 단계별 수행을 통해 성직을 이해하는 것을 특징으로 한다.
연계 및 연동동작이라 함은 종래의 개별적인 기능을 수행하는 분석시스템을 통합하는 것으로, 각각의 산출 결과와 기능을 연계 및 연동하며, 이를 통하여 생성되는 제 3의 새로운 분석결과로 정보의 가치를 높이고, 통일된 단일 인터페이스를 제공하므로 사용의 편리와 비용의 절감에 대한 효과를 발생시킬 수 있다.

덧붙여 본 발명의 통합형 네트워크분석시스템을 이용한 교육방법은 이러한 기기를 이용한 교육방법으로 가상의 네트워크 구성이나 기타 장비 구성 등의 물리적인 조력의 역할을 하여 종래의 단편적인 학습의 한계를 넘어, 실제 동작하고 있는 프로토콜에 대한 분석과 생성을 실험하고, 이러한 것들이 현실의 네트워크에서 동작하는 모습을 관찰하여 입체적인 학습이 가능하도록 구성된다.

이하, 본 발명의 바람직한 실시 예를 예시도면에 의거하여 상세히 설명한다.

도 1은 본 발명의 실시 예에 관한 통합형 네트워크 분석시스템을 도시해 놓은 구성 블록도로서, 본 발명은 실제 이더넷 망에서 통신시 발생하는 모든 패킷을 감지 및 분석하여 실제 패킷의 원형 및 망 관리에 필요한 모든 통계 및 관리기능을 지원하도록 되어 있다.
즉, 도 2a에 도시된 바와 같이 라우터나 허브(1) 등으로 연결된 한 서브넷 상에서 호스트A(3)와 호스트B(4) 간에 인터넷, 채팅 및 파일을 전송하는 등의 통신 활동시 발생되는 패킷(5)을 본 발명의 통합형 네트워크분석기(2)에서 감지 및 분석하는 것으로, 서브넷의 브로드캐스팅 특성을 이용하여 동일 네트워크 상에서 흐르는 다른 노드의 패킷까지 모두 모니터링하여 분석하는 시스템이다.

도 2b는 도시된 모듈별 구분의 전체 흐름도로서, 네트워크 분석모듈에서 네트워크 대역이 입력되어 SNMP데이터를 검색하고 이를 분석하여 서브넷이 존재하지 않는가를 통해 전체적인 네트워크구성을 인식하며, 연결 및 선로점검모듈에서 핑을 통하여 연결 상태를 검사한 다음, 프로토콜 분석모듈에서 인식된 네트워크상의 패킷을 분석하고, 프로토콜 제어모듈을 통해 네트워크 흐름의 저해요인 여부를 판단하여 패킷의 흐름을 차단하도록 되어 있다.

상기 인터넷(50)에 접속되는 본 발명의 통합형 네트워크 분석시스템은 네트워크 인터페이스카드(60)를 통해 프로토콜 분석모듈(30), 프로토콜 제어모듈(40), 네트워크 분석모듈(20), 그리고 연결 및 선로상태 점검모듈(10)로 구성되는바, 이들 모듈은 각각의 특성을 가지는 작업을 독자적으로 실행할 수 있을 뿐만 아니라 상호 연계 및 연동동작을 수행할 수 있다. 또한, 이를 이용하여 교육용프로토콜분석기 설계 및 시뮬레이션 설계 등 실습이 가능한 교육패키지로 구성되어 있다.

본 발명은 종래의 LAN환경에서 트래픽 분석이나, 트래픽을 제어하기 위한 접근방식으로 게이트웨이 지점의 위치나 로컬머신상의 직접 제어하는 방식 뿐만 아니라 포트미러링 방식도 지원할 수 있다. 상기 인터넷(50)에 접속되는 네트워크 인터페이스카드(60)는 네트워크분석모듈(20)과 연결 및 선로점검모듈(10)을 통해 프로토콜 분석모듈(30)이 연결되어 있고, 프로토콜 제어모듈(40)은 상기 네트워크 인터페이스카드(60)와 연결된다.

상기 프로토콜 분석모듈(30)은 네트워크 망상에 구현되는 프로토콜을 분석하는 것으로, 패킷의 구성 프로토콜과 세부내용의 분석 및 성질 등을 분석하는 것을 내용으로 한다. (도 3a내지 도3s 참조)
도 1에서 프로토콜디코더(31)는 모니터링 개시후의 TCP 연결상태, 즉 모니터링 시간, 메모리사용율, 전체수신패킷수, TCP간의 총 연결포트와 프레임크기, 성립/종료/재설정의 수를 실시간으로 나타내는 TCP스택윈도우와 수집된 자료들을 분석하여 패킷에 대한 송수신IP 및 성격을 보여주고, 해당 내용을 HEX값으로 표현하며, 종류에 맞게 구조화시켜 트리구조로 표현한 내용들을 출력하는 디코더윈도우, TCP 각 연결당 해당 패킷의 흐름을 도시화시켜 보여주는 TCP플로우윈도우로 구성되어 있다.(도 3a 참조)

상기 디코더원도우는 SUMMARY, DATA, DETAIL 윈도우로 구성되어 있으며, 사용자의 선택에 따라 1~3 개의 창을 한 화면에서 볼 수 있으며, 해당 패킷의 분석이 명확한 시각적 표현을 위하여 각 프레임별로 색상을 지정할 수 있도록 하고, 이는 HEX와 트리구조창에 표현한다.(도 3b ~ 도 3e 참조) 특히 DATA 윈도우의 특정 값을 지정하면 그 내용을 상세 분석한 DETAIL 윈도우의 해석 값과 연동하여 움직이며, 반대로 DETAIL 윈도우의 특정 값을 지정하면 거기에 해당하는 DATA 윈도우의 값에 밑줄이 연동하여 나타난다. 또한, 수집된 패킷에 대해 연결을 단위로 재조합하여 통신상에서 주고받은 데이터 단위로 구성함으로, 추상적인 패킷의 내용을 기존의 실제 통신내용으로 구체화시키는 기능도 가지고 있어, 패킷단위로서는 데이터의 판단이 어려운 것을 극복할 수 있다.(도 3g ~ 도 3k 참조)

패킷의 간략한 표현을 표로 나타낸 패킷별 요약창의 데이터는 종래의 데이터프로그램에서 사용하는 데이터포맷과 호환하는 저장형태를 지원하는 바, 이로 인하여 데이터분석의 다양한 표현과 형태를 제공하고 정보의 효율성을 극대화시킨다.(도 3e및 도 3f 참조)

실제 망에서는 짧은 시간동안에도 수많은 데이터들이 전달되고 있다. 실제로 원하는 프로토콜이나 패킷에 대한 검사를 하기 위해 프로토콜 분석모듈(30)에서 다양한 필터링규칙을 지원하고 있다. 필터링함에 있어 IP주소, MAC주소, 포트번호, 2/3계층 레이어형태구분과 패킷사이즈 및 일정 부분의 데이터 일치가 있다. IP주소와 MAC주소는 방향성에 대한 인지기능을 추가적으로 지원하는 데, 상기 IP주소나 MAC주소에 대해 송신이나 수신의 방향을 결정하고 이에 해당하는 것을 추출한다. (도 3l ~ 도 3s 참조)

상기 2/3계층 레이어형태구분은 OSI 7계층의 참조모델을 바탕으로 2/3계층에서 운용되는 프로토콜리스트를 지원하고, 이를 사용자가 선택함으로 해당 프로토콜에 대한 필터를 가능하게 한다. 이러한 특정한 프로토콜 모델을 가지지 않는 불명확한 패킷들에 대하여 일부분의 일치를 검사하여 데이터를 추출할 수 있는 것이 데 이터 일치필터이다. 구체적으로 시작점을 설정하고, 그 이후 중복검사를 하는 범위의 크기와 데이터를 입력하면, 이를 개개의 수정되는 패킷별로 검사하고 추출한다. 전체적으로, 이러한 필터는 해당 규칙에 대한 설정된 내용에 일치되는 내용을 수집하는 적용방식과 일치되지 않는 모든 내용을 수집하는 미적용방식으로 구분하여 동작할 수 있다.

프로토콜 제어모듈(40)은 호스트들 간의 통신을 모니터링하다가 필터링 조건에 맞지 않는 데이터를 송수신하는 경우, 즉시 가상패킷을 조합하여 해당 호스트로 보냄으로써 연결을 끊는 것으로, TCP 연결장애시 발생하는 RST비트의 설정을 통해 해당 연결의 비정상적 단절을 통보하고 수신하는 호스트들은 연결을 중단하게 된다.

따라서, 프로토콜 제어모듈(40)은 프로토콜 특성을 이용하여 특정한 성격의 프로토콜이나 패킷의 성격을 정의하여 이를 도 4g 등과 같이 통제한다. 특히, 일반적인 제어도구들이 로컬상에서 또는 통신의 최초 송수신부인 게이트웨이의 위치에서 동작을 수행하는 반면, 프로토콜 제어모듈(40)은 미러링을 이용한 프로토콜 제어방식으로, 차단을 위한 송수신 데이터의 감시로 네트워크전체에 대한 속도저하나 과부하를 방지하고, 종래의 통신과는 별개로 진행되어지므로 현재 망에 대해 설정한 규칙에 따른 특정 영역이나 노드에 대한 제어 이외에는 어떠한 영향도 미치지 않는다. (도 5a ~ 도 5d 참조)

좁게는 유해 사이트 차단에서, 넓게는 HTTP, FTP등 해당 프로토콜 전체에 대한 차단을 설정할 수 있으며, DNS, MAC어드레스 및 포트 등의 관련조건을 복합적 으로 설정할 수 있다. 더불어 네트워크 어플리케이션별로 설정하는 것을 지원하는 데, 이는 사용자가 해당 프로그램을 차단하기 위해 필요한 포트나 프로토콜 성격 등의 전문적인 지식이 부족하더라도, 이미 분석되어진 자료를 선택하므로 편리하게 설정할 수 있는 기능을 지원한다. (도 4a ~ 도 4e 참조)

이러한 필터 기술항 들은 모두 범위의 내외를 지원하는 데, 선택된 항목을 적용하는 방식에 있어 기술된 내용의 해당 사항을 검사하는 내적방식과 해당 사항이외의 사항에 대하여 검사하는 외적방식을 지원한다. 설정한 차단규칙에 대하여 특정한 대역을 설정할 수 있는 데, 특정 IP의 대역을 입력함으로 적용노드에 대한 제한을 지원한다. 이렇게 설정된 규칙들은 차후 재사용을 고려하여 고유형식으로 저장되는 것을 지원하고, 이후 프로토콜 제어모듈(40)에서 다시 불러들여 활용할 수 있다. (도 4f 참조)

네트워크 분석모듈(20)은 SNMP(Simple Network Management Protocol)프로토콜을 이용하여 네트워크 망상의 총체적인 데이터베이스를 구축하고, 분석하여 전체적인 네트워크의 상태를 감독한다. 네트워크의 효율적 관리와 손쉬운 문제점 파악을 위한 부분으로, RMON(Remote network MONitoring) 분석 기능을 통해 라우터나 스위치의 도움없이 네트워크에서 모니터링된 패킷을 이용하여 RMON MIB 구성 표준에 준하여 네트워크 필요한 모든 사항을 기록한다. SNMP 분석기(21)와 RMON 분석기(22)로 구분되어진다.

따라서, 회선의 사용율과 트래픽의 규모 및 네트워크에서 발생하는 트래픽에 대한 통계를 서버나 네트워크 회선의 부하에 전혀 영향을 주지 않으면서 결과를 보 여 줄 수 있으며, 덧붙여 기존의 SNMP 프로토콜을 이용하여 라우터나 스위치에서 제공하는 MIB(Management Information Base) 정보를 획득하고 이를 분석하며, 상호간의 오차를 계산하여 데이터를 보정하는 기능 등, 네트워크상의 총체적인 데이터베이스를 구축하고 분석하여 전체적인 네트워크의 상태를 감독한다.

SNMP분석기(21)는 SNMP 메니지먼트가 이식되어 있는 노드를 모르더라도 특정대역을 설정하고, 검색할 경우 자동으로 각 노드에 대한 특성을 자동으로 파악하고 SNMP 메니지먼트를 탑재한 노드를 자동 선택한다. 이러한 노드를 대상으로 하여 MIB 데이터를 요청하며, 수집된 데이터에 대해서는 트리구조로 도식화하여 표현한다. (도 6a ~ 도 6h 참조) 이러한 작업을 일정 시간마다 반복하여 몇 가지 표로 나타내는 데, 초당 프로토콜분포내역, 프로토콜오류내역, 트래픽 내역, 트래픽 오류내역을 시간별 물결그래프 또는 막대그래프로 표현한다. (도 6i ~ 도 6p 참조 ) 이러한 로그기록은 요청시 문서화시켜 아스키코드로 지정된 파일형태로 제공한다.

네트워크 분석모듈(20)은 프로토콜 분석모듈(30)의 NMS 데이터표시(32)를 통해서 세부적으로 전체 사용율 및 수신 패킷수(MULTICAST/BROADCAST/UNCAST)와 에러수(CHECKSUM/FRAGMENT ERRORS)를 나타내는 플로우보드(33; 도 7y및 도 7z 참조), 서브넷에서 발생하는 트래픽중에서 상위 10개의 호스트를 분석한 HOST TOP10(38 ; 도 7a ~ 도 7c 참조), 이더넷상의 대표 3계층인 네트워크/트랜스포트/어플리케이션 레이어별 프로토콜 사용을 표시하여 주는 프로토콜 디스트리뷰션(34 ; 도 7f ~ 도 7h 참조), 현재 네트워크 상에 트래픽이 발생하고 있는 연결 상태를 출력하는 트래픽매트릭스(37 ; 도 7d ~ 도 7e 참조), 패킷 사이즈에 대해 통계치를 제공하는 스테이스틱(35; 도 7i ~ 도 7k 참조), 각종 통계를 시간대별로 제공하는 유저히스토리(36; 도 7l ~ 도 7w) 및, 네트워크 장애 발생시 오류 내용에 대한 표시를 하는 알람(39; 도 7x 참조)의 7 개의 분석표를 제공한다.

연결 및 선로상태점검모듈(10)은 연결 및 선로상태에 대한 세부적인 내용과 점검을 구현한다. 네트워크를 관리 및 점검하기 위한 기본적인 기능의 집합으로, 특정 노드의 접속 및 존재여부, RTT(ROUND TRIP TIME), DNS질의, 라우팅 경로추적의 기능을 구현한다. 세부적으로는 단일/연속/불연속의 세 가지 입력방식을 통해 입력된 영역에 대하여 반복횟수, 타임아웃, 패킷크기, 지연 시간등의 설정된 수치에 의하여 핑을 수행하는 핑테스터(14; 도 8f ~ 도 8h 참조), 빠른 시간 내에 특정 대역을 검사하여 IP사용률, 평균 RTT, 검색된 노드에 대한 개인 상세정보 등을 나타내는 자동스캔(15 ; 도 8d 참조), ICMP의 TTL(TIME TO LIVE)값에 따른 라우터의 반환값을 이용하여 인터넷상의 경로를 시각적으로 구체화시키는 트레이스라우터(11 ; 도 8a 및 도 8b 참조) 및, 도메인에 대한 연결 IP어드레스와 등록자 정보를 나타내는 DNS 룩업/WHOIS(12 , 13 : 도 8c 및 도 8e 참조)가 있다.

도 2b및 도 9 에 도시된 바와 같이, 본 발명의 통합형 네트워크 분석시스템에서 모듈간 상호 연동 작용의 설명은, 네트워크의 분석을 위하여 우선 전체적인 망의 구성을 살펴볼 수 있는 스케치를 필요로 한다. 네트워크 분석모듈(20)의 SNMP분석기(21)를 이용하여 지정한 네트워크의 MIB데이터를 획득하고, 이를 분석한다. 이후 보조적으로 연결 및 선로상태점검모듈(10)을 통해 각 노드의 속도 등 연결 상태를 확인한다. 이때 상기 MIB 데이터의 내용은 MIB 데이터를 생성한 연결점의 서브네트워크에 해당하게 되는 데, MIB 의 노드 정보 중 또 다른 하위 서브네트워크를 암시하는 연결점을 발견할 경우 위의 과정을 반복하게 되며, 이를 통해 최종적으로 지정한 네트워크를 최상위로 하는 전체적인 네트워크 구성을 확인하게 된다.

이렇게 특정 망을 인식한 후 전체 또는 일부 영역에 대한 데이터의 흐름을 분석하게 되는데, 이에 해당하는 것이 프로토콜 분석모듈(30)이다. 이 프로토콜 분석모듈(30)의 경우 그 내부 탐색 방식(포트미러링 방식)에 따라 해당 노드에 대한 직접 접근 없이 네트워크 상에서 분석하고자 하는 노드의 범위를 설정하게 된다. 이후 데이터의 내용을 차트나 네트워크 상에 흐르는 데이터의 단위인 패킷 별로 나타내게 되는 데, 전자의 경우가 플로우보드, Host Top 10, 프로토콜 디스트리뷰션, 트래픽 매트릭스, 스테이스틱, 유저히스토리, 알람 이며, 후자가 프로토콜 디코더 부분이다.

이러한 프로토콜 분석모듈(30)의 통계 및 기록된 결과는 해당 대역에 대한 분석의 자료로 활용된다. 예를 들어, 네트워크의 대역폭에 비해 실제 전송이 느리게 수행될 때, Host Top 10을 통해 점유율이 높은 호스트들을 찾아 낼 수 있으며, 패킷사이즈 디스트리뷰션(Packet Size Distribution)을 통해 망에서 유통되는 패킷의 사이즈를 보고 네트워크 사용 효율이 통신 불량의 원인이 되는 사항임을 알아 낼 수 있다. 또한, 프로토콜 디스트리뷰션을 통해 가장 많은 자원을 소비하는 응용 계층을 밝혀 웹이나 FTP 서비스 등의 알맞은 조율 비의 설정 등 네트워크에 대한 다양한 판단을 위한 데이터를 제공하게 된다.

이러한 분석 자료를 통하여 네트워크 관리자는 망의 구조 변경이나 시설의 확충에 대한 필요성 또는 문제를 야기하는 노드의 발견 등을 수행하게 된다. 이때, 시설 및 기간에 기반 하는 문제일 경우 관련 장비를 가장 관련 깊은 서브넷에 확충한다거나, 이외의 네트워크 상의 데이터나 특정 노드에 대한 문제일 경우 프로토콜 제어모듈(40)을 이용하여 해결하게 된다.

상기 프로토콜 제어모듈(40)은 프로토콜 분석모듈(30)과 마찬가지인 포트미러링 방식으로 기존의 통신과는 별개로 진행되어 지므로 현재의 망에 대해 설정한 규칙에 따른 특정 영역이나 노드에 대한 제어 이외에는 어떠한 영향도 미치지 않으며, 가상 패킷을 조합하여 해당 호스트로 보냄으로써 연결을 종료시키는 것으로, TCP 연결 장애시 발생하는 RST 비트의 설정을 통해 해당 연결의 비정상적 단절을 통보하고 수신하는 호스트들은 연결을 중단시키게 된다.

이러한 방식으로 네트워크의 흐름을 방해하는 특정한 노드는, 어플리케이션 레벨의 관련 프로그램 설정 또는 프로토콜 및 포트 별 구분 등을 이용하여 지정된 대역에 대한 통제를 시작하며, 이는 바로 네트워크에 반영되고 설정된 내용에 대한 대역을 감소시킴으로써 전체 소통을 원활하게 한다.

이상과 같이 구성되는 본 발명의 전체적인 동작은, 네트워크 분석모듈(20)이 SNMP를 이용하여 해당 네트워크에 대한 MIB(Management Information Base)데이터를 획득하고 이를 분석하여 전체적인 네트워크의 기본 구성을 추상화시키고, 이러한 데이터를 연결 및 선로 상태점검모듈(10)이 각 노드를 점검하여 구체화시키게 된다.

이후, 이러한 확정된 네트워크상에서 통신되는 모든 프로토콜에 대하여 프 로토콜 분석모듈을 거쳐 각 패킷의 내용에 대해 분석하고 통계를 측정하게 된다. 이때 일반적인 패킷모니터링의 기술적 한계상 실체적으로 통신하는 양과 측정할 수 있는 양의 오차범위가 발생할 수 있는 데, 이를 네트워크 분석모듈(20)에서 구축하고 있는 MIB 데이터베이스를 기반으로 하여 측정하게 되며, 이를 최종 보고시에 통보하게 된다.

이와 더불어, 프로토콜 분석모듈(30)에서 판단한 라우팅에 관련되는 프로토콜들은 특별히 네트워크 분석제어모듈(40)로 전해져서 관련 네트워크의 추가 구성에 자료로 구축되며, 가지고 있는 네트워크의 구조정보를 확장하게 된다. 또한, 연결 및 선로상태 점검모듈(10)을 통하여 해당 패킷에 대한 예상되는 수신경로 및 현재 대상물과의 연결속도 보고 등의 자료를 구성하며, 이러한 프로토콜 및 패킷에 대한 분석과 이들의 네트워크에 대한 분포 분석보고는 프로토콜 제어모듈(40)에서 수립된 정책이나 분석되어지는 패턴에 따라 제어여부를 결정하게 된다.

제어가 확정되는 것은 해당 패킷을 강제적으로 전달단계에서 차단시키며, 이후에 대한 내용에 대해 ICMP 프로토콜 불가능메시지나 TCP프로토콜 특성을 이용하여 관련 연결을 차단시키도록 한다.

이렇게 구성되는 본 발명은 각종 공공기관이나 학교 등에서의 망 관리 또는 전자상거래등 보안솔루션을 필요로 하는 회사에서 네트워크 분석 및 관리통로, NIC나 허브 등의 통신장비 개발업체 및 새로운 프로토콜 개발회사에서 테스트/연구개발 도구로, 정보 통신관련 학교 및 통신장비 관련 산업체의 교육장비로 활용할 수 있다.

도 10 은 본 발명의 통합형 네트워크 분석시스템을 이용한 교육실습방법을 설명하기 위한 전체 수행흐름과 교육용 패키지연계를 도시해 놓은 흐름도, 도 11a내지 도 11d는 교육용프로그램의 제작실습과 그 흐름도 및 블록도이고, 도 12 는 네트워크 시뮬레이션 실습이며, 도 13 과 도 14 는 네트워크 제어실습과 그 블록도와 흐름도를 나타낸다.

도 10 에 도시된 전체 수행흐름과 교육용 패키지가 연계되어, 프로토콜 분석모듈의 분석을 한 결과 프로토콜 분석용 교육 프로그램으로 실제 패킷을 분석하고, 학습을 바탕으로 한 가상 패킷을 생성한 다음 통합형 네트워크 분석시스템의 실제 네트워크에 전송하며, 상기 네트워크 분석시스템의 프로토콜 분석모듈을 통해 제대로 전송되는지를 검사하고, 가상 패킷 생성기와 교육용 프로토콜 분석기를 통해 작성 실습한 다음 통합형 분석시스템을 통해 검증하며, 네트워크 시뮬레이션 및 네트워크 제어를 작성한 다음 프로토콜 분석시스템을 통해 검증함으로서 고급실무에 적용 가능한 인재를 양성할 수 있도록 되어 있다.

도 11a에 도시된 교육용프로그램 제작실습은, CRawPacketEdu, CPacketGen 및 ICMPSocket 라이브러리로 된 프로그램라이브러리모듈(70), 교육용프로토콜제어기(도 11c 참조), 교육용프로토콜분석기(도 11b 참조) 및 교육용네트워크분석기로 된 프로그램소스(71)를 통해 교육용 실습프로그램(72)을 수행할 수 있다.

도 11d 에 도시된 바와 같이, 상기 프로그램 라이브러리모듈(70) 및 프로그램소스(71)를 통해 프로토콜분석/제어 및 네트워크 분석에 필요한 요구사항을 입력하고, 교육용 실습 프로그램을 통해 프로토콜 분석 및 제어를 행하며, 실제 통합형 네트워크 분석시스템을 통한 검증을 행하도록 되어 있다.

도 12에 도시된 네트워크 시뮬레이션실습은 다중화/역다중화 가상실습모듈, 인터넷 프로토콜 가상설계모듈, 바이트오더 가상실습 및 프로토콜 테스터 실습모듈로 구성 되는데, 이는 실행 후 프로그램에서 안내되는 대로의 순서로 진행되며, 이러한 시뮬레이션 프로그램들은 실험의 특성상 실제 네트워크에서 행하여 질 수 없는 것들에 대한 가상의 환경을 제공함으로써 실제 망에서 이루어지는 것을 관찰 할 수 있도록 되어 있는 시나리오에 따라 이루어지고 있다. 즉, 가상의 네트워크 실습환경에서 생성된 데이터나 패킷을 실재 사용하는 네트워크에 전송하여 본 장비로 검증하게 된다.

도 13에 도시된 네트워크 제어실습은, 트래픽 제너레이션작성십습, TCP/IP 3웨이 핸드세이킹, ARP요청/응답작성실습 및 ICMP기반 트레이스 작성실습으로 이루어지는 바, 이는 도 14에 도시된 바와 같이 프로그램 라이브러리모듈및 프로그램소스를 통해 프로토콜분석/제어 및 네트워크 분석에 필요한 요구사항을 입력하고, 실제 네트워크망에 패킷을 전송하며, 실제 통합형 네트워크 분석시스템을 통한 검증을 행하도록 되어 있다.

이렇게 각각의 모듈이 서로 융합되어 동작하여 나오는 결과를 판단하여 실질적인 네트워크에 대한 분석의 교육을 효과적으로 이룰 수 있다. 즉, 개념적으로만 설명되어 있는 종래의 내용을 연결 및 선로점검모듈(10)을 통한 해당 프로토콜에 속하는 특정 패턴을 발생시키고, 이를 프로토콜 분석모듈(30)과 네트워크 분석모듈(20)을 통하여 실제 이 데이터가 네트워크의 동작에 미치는 영향이나 트래픽 또는 각 연결간의 제어상황을 분석하여 전체적인 네트워크 구성과 흐름에 대하여 파악하게 된다.

이러한 결과는 다시 프로토콜제어모듈(40)의 제어정책 수립에 영향을 미치게 되며, 이를 통하여 효과적인 네트워크 관리에 대한 지식을 습득하도록 한다. 그리고, 가상의 패킷에 대한 작성과정과 이러한 패킷이 실제적으로 네트워크 상에서 어떠한 정책사항과 관련되어 단편화되거나 라우팅되어 전달되어지는지에 관하여 시뮬레이션할 수 있도록 함으로써, 거시적인 내용뿐만 아니라 미시적인 제어내용이나 방식까지도 학습할 수 있다.

구체적인 주요 실습과정은 네트워크 기본실습, 교육용 프로토콜 분석기 작성실습, 시뮬레이션실습, 교육용 프로토콜 제어기 작성실습 및 트래픽제너레이션 작성실습과정으로 구성되어 있다.

네트워크 기본실습은 통신프로토콜의 개념파악을 목표로 실제 패킷과 프로토콜에 대한 개념을 구체화하고, 교육용 실습 프로그램에서 프로토콜 설계 및 분석과 시뮬레이션을 위한 통신의 기본적인 준비학습을 내용으로 한다.

계층별로 구분된 네트워크를 이용하여 데이터를 전송하기 위해서는 송신 측에서 각 계층에 따른 형식으로 데이터를 포함하여 가공하며, 이러한 과정을 다중화라 하고, 수신 측에서 이를 반대로 적용하는 것을 역다중화라 하는데, 도 15에 도시된 바와 같이 호스트에서 통신시 발생되는 프로토콜의 다중화와 역다중화 방식에 대한 정확한 이해를 돕기 위한 시뮬레이션이 다중화/역다중화 시뮬레이션이다. 도 16에 도시된 바와 같이 실제 네트워크에서 발생되는 패킷의 프로토콜을 사용자가 직접 분석하고 테스트할 수 있는 시뮬레이션을 통하여 전반적인 네트워크 교육에 대하여 학습할 수 있도록 구성되어 있다.

이렇게 실제 망에서 진행되는 내용을 제공되는 시뮬레이션 프로그램을 통해 직접 각 계층을 단계별로 거쳐가며, 각 계층에서 사용되는 헤더나 데이터에 특정 값을 가감하여 실제 패킷이 구성되는 것을 시각적으로 실습할 수 있으며, 이를 통해 실제 패킷의 구성에 대해 통찰할 수 있다. 우선 전송할 데이터를 데이터 입력 창에 입력하고 역다중화버튼을 누르면, 하단에 HEX와 ASCII데이터 창을 통하여 각각의 다중화된 데이터 모습을 표현하는 데, 이를 확인한 후, 다음을 눌러 다음의 다중화 단계로 이동한다.

이렇게 데이터 - 전송계층(TCP) - 네트워크 계층(IP) - 데이터링크계층(MAC)을 통해 각각의 단계를 수행하면 완전한 하나의 데이터패킷이 완성되는 데, 이렇게 조합된 가상의 패킷을 실제 망으로 전달함으로 오류나 동작에 대한 이해할 수 있으며, 패킷조합에 관한 실제 망에서의 체험을 할 수 있다.

그리고, 이렇게 송신측 입장에서의 다중화된 데이터를 다시 반대의 수신측 입장에서 역다중화시키는 과정은 완성된 패킷을 대상으로 하여 각 과정을 역순으로 진행하는 데, 역다중화하는 데이터 링크계층에서는 송신 및 수신자의 MAC 주소를, 네트워크 계층에서는 IP주소를 전송계층에서는 TCP 헤더의 구성요소인 포트, 시퀀스 및 승인을 입력하여 각각의 값을 제거하는 과정을 거치며 최종적으로 원본데이터만을 남기게 된다. (도 17a ~ 도 17p 참조)

또한, 네트워크상에 존재하는 다양한 플랫폼에 따른 이기종간의 통신에서의 바이트 오더 처리가 도 18b와 같이 발생하는 데, 데이터가 컴퓨터에 저장할 때 자신의 바이트순서 방식(Big-Endian, Little-Endian)에 따르고, 네트워크로 전송할 때 Big-Endian방식을 따른다. 바이트순서 방식의 차이에서 오는 문제를 해결하기 위해 네트워크로 전송하기 전에 데이터를 네트워크 바이트순서로, 수신측 컴퓨터에서는 호스트 바이트순서로 변한 후 사용하는 것을 말한다.

이것에 관하여 바이트 시뮬레이션을 제공하는 데(도 18a및 도 18b 참조), 여러 바이트로 구성된 데이터가 실제적으로 메모리에 저장되는 순서와 네트워크에서 전송되는 순서를 직접확인하고 바이트순서 변환함수를 사용하여 그 순서의 변화를 확인하는 실습이다. 이는 데이터를 시뮬레이션 프로그램에 입력한 다음, 메모리저장버튼을 눌러 실제로 메모리에 저장되어 있는 상태를 시뮬레이션하는 메모리창을 보고 값의 저장형태를 확인한 후, HTONS버튼을 이용하여 네드워크 순서로 변경한 값의 변화상태를 관찰한다.(도 19a 참조)

시뮬레이션을 통하여 이기종간의 데이터 처리방식이 상이함을 이해한 다음, 이에 대하여 자신의 플랫폼의 종류를 실제 프로그래밍을 통해 구별함으로, 단순히 가상적인 시나리오에 그치는 것이 아니라, 실제 메모리에 적용되는 내용을 살펴 볼 수 있도록 구성되어진다. 즉, 제공되는 해당 소스의 내용을 입력하고, 그 부분을 디버깅하여 메모리의 상태를 분석함으로 시뮬레이션에서 학습한 내용을 실제 컴퓨터상에 적용해 보는 것이다.(도 19b 참조)

IP에서 패킷은 인터넷에서 목적지를 찾아가기 위하여 헤더, 라우팅, 재조립에 관련하여 몇가지 작업을 하는 데, 이러한 일은 모두 내부적으로 제공되는 머신의 모듈에 의해 처리되는 것으로, 이를 시뮬레이션하여 실질적으로 패킷을 전달하는 목적을 가지는 IP의 기능에 대해 알아보는 것이다. 도 25a ~ 도 25z에 도시된 바와 같이, IP 디자인 실습과정은 IP 계층에서 처리해야할 헤더처리, 전송처리, 큐구성, 라우팅, 단편화 및 재조립 등의 내용을 단계별로 추적해 가는 내용이다. 표시되어 있는 버튼들을 진행 순서를 나타내는 흐름 제어표에 따라 입력한 데이터를 바탕으로 각 모듈에서 행하여지는 결과를 결과 창을 통하여 관찰하는 식으로 되어 있다.

모듈에 대한 작성실습은 도 11d에 도시된 바와 같이, 실습은 제공되는 NIC 제어용 드라이버와 이를 편리하게 핸들링할 수 있도록 설계된 랩퍼 클래스 라이브러리인 CRawPacketEdu를 통하여 마이크로소프트 비쥬얼C++로 작성하며, 제공되는 기본소스나 교재에 나와 있는 진행방법을 따라 학습한다. 제공되는 라이브러리는 패킷모니터링모듈, 패킷제너레이션모듈, ICMP소켓모듈등으로 구성되고, CRawPacketEdu 와 CPacketGen는 실제 패킷을 캡쳐하기와 특정 노드에 트래픽을 발생시키기 위해 필요한 서비스를 쉽게 쓸수 있도록 모듈화한 C++ 기반의 라이브러리이다. (도 11a 참조)

또한, ICMP 소켓 라이브러리는 핑, 트레이스라우터, 오토스캔 및 WHOIS 등을 손쉽게 수행할 수 있도록 지원하는 소켓 라이브러리이고, CRawPacketEdu를 이용한 패킷캡쳐모듈의 구현은 CRawPacketEdu개체생성 - NIC바인딩 - 패킷캡쳐시작 - 캡쳐된 패킷분석 - 패킷 캡쳐중지의 순서로 패킷 모니터링시스템을 설계할 수 있다. (도 11b 참조)

도 20에 도시된 바와 같이, 교육용 패킷분석기 작성실습은 실제패킷을 분석하여 봄으로써 프로토콜 분석능력을 배양하고, 프로그래밍 레벨에서의 패킷 핸들링능력과 인터넷 프로그래밍에 대한 향상, TCP스택구조에 따른 패킷처리의 기술습득을 목표로 한다. 이를 위하여 TCP/IP SUITE 의 핵심프로토콜인 ETERNET, SNAP, IP, ICMP, ARP, TCP, UDP, DNS 및 HTTP등을 모니터링하여 관찰하고, 이를 데이터링크 계층으로부터 획득하여 전체구조를 분석하고 판단하는 모듈을 제공되는 소스를 바탕으로 작성하는 실습내용을 포함한다. 프로토콜 분석은 본 발명의 통합형 네트워크 분석시스템을 이용하여 수집된 패킷들을 프로토콜 분석용 프로그램으로 읽어들여 분석하거나 기본으로 탑재되어 있는 제공된 교재 실험예제를 분석할 수 있다.(도 21a ~ 도 21m 참조)

프로토콜 분석용 프로그램을 통해 불러들인 수정 패킷정보나 예제는 상단의 좌우로 나누어서 HEX와 ASCII로 표시되며, 이를 각각의 프로토콜의 특성에 맞게 하단필드들을 채워 올바른 분석여부를 판단하게 된다. 즉, 이더넷 프레임분석의 경우 해당 헤더구조인 송수신 MAC 주소와 상위프레임타입을 요구하는 필드들이 나오며, TCP 패킷의 경우 송수신포트, 시퀀스, 승인, 데이터옵셋, 플래그(URG, RST, SYN, FIN, PSH, ACK), 윈도우사이즈, 체크섬등의 입력 요구필드들이 생성된다.

이러한 필드들은 상단의 패킷 덤프창을 참고하여 목적지 주소, 발송지 주소, 및 상위프레임타입을 입력하고 결과버튼을 누르면, 결과창에 맞게 입력한 것은 TRUE 로, 틀린 것은 FALSE 로 표시하여, 학습자가 모두 바르게 입력 할 때까지 반복하여 해당 패킷을 올바르게 분석했는지 연습하게 된다. 이에 따라 TCP/IP 계열의 모든 패킷 구조를 이 새로운 발명을 통해서 완전히 정복할 수 있게 되는 것이다. 위와 같은 분석은 통합분석툴의 디코더 창을 간략하게 표현한 것으로서, 기타 세부 내용에 대한 확인이나 분석은 통합분석툴을 이용하여 마무리 할 수 있다.

이렇게 연습한 내용을 바탕으로 실제 네트워크상에서 송수신되는 패킷을 제공하는 라이브러리를 이용하여 캡쳐하고 분석하는 모듈을 만들 수 있는 데, 마이크로소프트 비쥬얼C++을 이용하여 예제 소스를 로딩한다. 예제소스는 분석모듈부분을 제외하고는 이외의 대부분의 사항이 완성되어 있는 것으로, 피교육자는 캡쳐메뉴의 시작과 중지를 통하여 입수된 패킷을 분석하는 모듈부분을 작성하면 된다. 이는 전술한 프로토콜 분석프로그램에서 연습한 분석내용을 실제 프로그램상에서 구현하고 실습해 보는 것으로, 통합 네트워크 분석시스템의 프로토콜 분석모듈의 기초가 되는 TCP/IP 프로토콜 어낼라이저 설계 제작부분이다.(도 22a ~ 도 22b 참조) 본 발명은 이러한 전체적인 교육과정을 통하여 이더넷의 다양한 프로토콜 분석 능력은 물론 컴퓨터 언어에 대한 깊은 이해와 활용 능력을 배양하는 부가적인 효과도 거두게 된다.

이렇게 교육용 프로토콜 분석기를 제작함에 있어, TCP/IP와 같은 일반적인 프로토콜 이외의 SNAP나 ARP와 같은 프로토콜은 트래픽에서 차지하는 비율이 적다. 따라서, 패킷을 수집하는 방법에 있어 해당 프로토콜의 패킷이외의 나머지에 대해서는 모두 거를 수 있는 필터링이 필요한 데, 이 역시 예제 프로그램에서 제공하여 프로그램분석에 있어 관련 프로토콜만을 집중해서 할 수 있다. 기타 기본적인 프로토콜 교육취지와는 다른 부분은 쉽게 넘길 수 있도록 구성되어 있다.(도 22c 참조)

네트워크 실습은 실제 이더넷 망상에서 수행하는 프로토콜들의 동작을 개별적으로 수행하여 통신이 이루어지는 단계마다의 특성과 내용을 이해하기 위한 환경을 구성하여 실습하는 것로, TCP/IP 의 3웨이 핸드세이킹, ARP, IP, ICMP에 대한 시뮬레이션을 내용으로 하고, 실습결과는 핑, 트레이스라우터 등의 기초 분석도구를 제작하는 기반지식으로 활용한다.

ARP프로토콜이란 지역네트워크 상에서 IP에 해당하는 물리주소를 구하기 위한 프로토콜로 RARP와 함께 IP와 MAC주소 변환에 관여하는데, ARP시뮬레이션 프로그램은 이러한 변환 과정에 대한 단계적 수행을 조력한다.

도 23a 및 도 23b에 도시된 바와 같이, 이처럼 각각 대응되는 주소를 구하는 과정에서 ARP는 요청과 응답을 두가지 과정을 거치게 되는 데, 이러한 과정을 단계적으로 실행하고 각각의 단계에 대한 영향과 결과를 검토하고, 원리를 이해하는 과정이 ARP 시뮬레이션 과정이다. 여기서 EH 는 이더넷헤더이고, AH 는 ARP헤더이다. ARP시뮬레이션은 교육용프로토콜 분석기를 바탕으로 하는 데, ARP요청 패킷을 최하위의 이더넷 프레임으로부터 최상의 ARP까지 조합하여 작성하고, 이를 실제 망상에 출력하며, 응답으로 오는 ARP응답 패킷을 수신하고 요청/응답의 쌍에 대한 패킷의 분석결과를 화면에 출력한다.(도 24a ~ 24d 참조)

인터넷에서 오류나 제어메시지를 처리하기 위하여 ICMP를 이용하여 그와 진단 등의 인터넷 흐름을 제어하게 된다. 이러한 ICMP의 특성을 이용하여 특정호스트의 접속여부를 알아 볼 수 있는 핑과 패킷의 전달경로를 추적하는 트레이스 라우터를 제작할 수 있는 데, 이때 필요한 패킷의 요청/응답관계의 이해를 위하여 ICMP 시뮬레이션을 수행하게 된다. 도 26a에 도시된 바와 같이, ARP 패킷조합과 마찬가지로 ICMP의 각 필드들에 대하여 이더넷 프레임으로부터 ICMP까지 모두 채우게 되며, 이를 실제 망에 전달하고 돌아오는 응답을 관찰하여 패킷의 이상여부나 값의 수정에 따른 응답의 차이를 실습하게 된다. 즉, 교육용프로토콜분석기 제작을 통하여 임의 ICMP 패킷을 생성하여 보낸 것에 대한 응답을 분석하고 화면에 출력하는 것이다. (도 26b ~ 도 26d 참조)

트레이스 라우터는 핑의 ICMP의 내용중 특히 TTL 값을 조정함으로, ICMP 패킷이 인터넷을 통과할 때 거치는 라우터마다 TTL값을 1씩 감소하게 되어 있는 데, 만일 0 일 경우에는 오류 메시지를 송신 호스트에서 전달하도록 되어 있다. 이에 따라 TTL의 값을 1씩 늘려 처리함으로, 패킷이 처리되는 라우터의 경로를 파악할 수 있다. 이러한 이론을 바탕으로 하여 트레이스 라우터를 제작하게 되는 데, 진행과정이 도시화되어 순서대로 나타나 있는 교재의 제공 라이브러리를 이용하게 된다.

각 단계를 설명하면, 우선 비쥬얼 C++6.0을 실행하여 프로젝트를 생성한다.
도 27a에서는 [New] 대화상자가 나타나면 프로젝트탭에서 MFC AppWizard(exe)를 선택하고 도 27b에서의 [Project name]항목에 'Trace Route'을 입력한 후 [OK]버튼을 누른다. 도 27c에서는 MFC AppWizard-step1창에서 'Dialog based'로 선택하고 [Next]버튼이 아닌 [Finish]버튼을 누른다. 도 27d에서는 New Project information 창에서 Wizard 입력정보를 확인하고 [OK]버튼을 누른다.

제공되는 소스에서 DllPing.dll, DllPing.lib, icmpSocket.h 파일을 트레이스라우터 프로젝트를 생성한 폴더를 복사하고, 트레이스라우터 프로젝트를 실행한 상태에서 [Project]-[Add to Project]-[File] 메뉴를 선택한 후 인서트 파일 인투 프로젝트 대화상자가 나타나면 icmpSocket.h 파일을 선택하고 [OK]버튼을 선택한다.(도 27e 참조) 트레이스 라우터 프로젝트를 실행한 상태에서 [Project]-[Settings] 메뉴를 선택한 후 [Link]탭을 클릭하여 [Object/library modules]항목에 DllPing.lib를 입력한다.(도 27f 참조)

TraceRouteDig.h(프로젝트 생성된 파일중 메인프레임(다이얼로그)의 헤더파일에) #include icmpSocket.h을 추가한다. TraceRouteDig.h 헤더파일에서 CTraceRouteDig 클래스내부에 퍼브릭으로 "Cimpsocket m_icmpSocket:"을 선언한다.(도 27g 참조)

트레이스라우터를 사용하기 위한 사용자 인터페이스를 구성한다. 먼저 트레이스라우터 프로젝트의 워크스테이션에서 리소스뷰 탭을 선택한다. 트레이스라우터 리소스의 Dialog에서 사용자 인터페이스를 구성한 다음 다이얼로그를 선택한다. 그리고, 선택된 다이얼로그에 컨트롤을 이용하여 사용자 인터페이스를 구성한다.(도 28a 참조)

도 28b에서 [1]은 에디트 컨트롤을, [2]은 라디오 버튼컨트롤을, [3]은 리스트컨트롤을, [4]은 라디오 버튼컨트롤을, [5]은 스텍틱 텍스트 컨트롤을 사용하여 사용자 인터페이스를 구성한다. 사용자 인터페이스와 컨트롤에 객체ID를 할당하고 DOX-변수를 연결한다. 1:1 따라하기 식의 학습과정을 통해 습득한 ICMP이론을 프로그램으로 구현하여 트레이스라우터를 완성한다.(도 28c 참조)

TCP 통신에서 데이터교환이 이루어지기 전에 한편에서 통신을 개시하고 다른 편에서는 통신개시에 대한 요구에 승인이 이루어져야 하는데 이와 같은 단계를 3웨이 핸드세이크라 하며 3웨이 핸드세이크 실습과정은 이러한 내용에 대한 단계적으로 실습을 조력한다.

각 연결과 해제의 단계를 살펴보면, 우선 연결의 경우 클라이언트는 첫 번째 세그먼트로서 SYN 세그먼트를 전송한다. 이 세그먼트에는 발신자와 목적지 포트번호가 포함된다. 목적지 포트번호는 명백히 클라이언트가 접속하고자하는 서버를 지정한다.

세그먼트에는 또한 클라이언트로부터 서버로 전송되는 데이터 바이트에 번호를 부여하기 위해 사용되는 클라이언트의 초기 순서번호(ISN)가 포함된다. 만일 클라이언트가 서버로부터 수신하고자하는 MSS를 지정하고자 하면, 클라이언트는 이 세그먼트에 MSS옵션을 추가할 수 있다. 또한, 클라이언트가 좀더 큰 윈도우를 사용하고자 하면, 클라이언트는 적절한 옵션을 이용하여 원도우 확장인자를 지정할 수 있다.

이 세그먼트는 클라이언트가 특정한 매개변수로 연결을 설정하고자 한다는 것을 나타낸다. 이 세그먼트에는 확인응답번호가 포함되지 않는다. 또한, 이 세그먼트에는 윈도우크기도 정의되지 않는다. 윈도우 크기의 정의는 세그먼트가 확인을 포함할 경우에만 의미가 있다. 서버는 두 번째 세그먼트로서 두 개의 세그먼트를 하나로 결합한 것인 SYN + ACK 세그먼트를 전송한다. ACK플래그의 확인응답번호를 이용하여 첫 번째 세그먼트의 수신을 확인하는 기능과 서버의 초기 세그먼트로서 사용되는 기능이 있다.

확인응답번호는 클라이언트의 ISN + 1의 값으로 설정되며, 서버는 클라이언트의 윈도우 크기를 설정해야 한다. 서버로부터 사용되고자 하는 윈도우 확장인자옵션과 서버에 의해 지정되는 MSS도 포함한다. 클라이언트는 세 번째 세그먼트로서 단순히 ACK세그먼트를 전송한다. 이 세그먼트는 ACK플래그와 확인응답번호를 이용하여 두 번째 세그먼트의 수신을 확인한다. 확인응답번호는 서버의 초기순서번호에 1을 더한 값이다. 이로써 데이터교환을 위한 연결이 성립하게 된다.

도 29a(3웨이 핸드세이킹 ; 연결성립)과 도 29b(3웨이 핸드세이킹 ; 연결종 료)에 도시된 바와 같이, 연결처럼 해제의 과정도 비슷한 내용을 가지는 데, TCP 연결은 양방향으로 이루어져 있으며, 한 방향의 연결이 종료되더라도 다른 시스템은 다른 방향으로 데이터 전송을 계속할 수 있다. 연결 종료절차는 클라이언트로부터 시작한다. 클라이언트 프로그램은 자신의 TCP에게 데이터 전송이 종료되고, 연결을 종료하고자 한다는 것을 알린다. 그리고, 클라이언트 - 서버방향의 연결을 종료한다.

그러나, 반대 방향의 통신은 여전히 개방되어 있다. 서버 프로그램이 서버 - 클라이언트 방향의 데이터전송을 마치면, 서버는 서버 - 클라이언트 방향의 연결해지를 자신의 TCP에게 요구한다. 이러한 내용을 프로토콜의 세부구현 내용을 보면, 연결을 종료하려는 시스템A에서 FIN=1인 패킷을 보내고, FIN=1인 패킷을 받은 시스템B는 이에 대한 응답인 ACK를 보내고 연결해제시 필요한 작업을 개시한다.

이 작업이 종료되면 시스템B는 FIN=1, ACK=1인 패킷으로 시스템A에서 보낸 FIN메시지에 대한 추가 ACK를 보낸다. 시스템A는 이에 대한 ACK를 시스템B에 보냄으로 연결은 종료되게 된다. 3 웨이 핸드세이킹의 시뮬레이션실습은, TCP 프로토콜의 연결방법인 3 웨이 핸드세이킹의 세단계중 첫 번째와 세 번째 단계에 해당되는 SYN 세그먼트와 ACK 세그먼트를 피교육자가 직접 만들어 두 번째 단계에 해당하는 SYN+ACK차 세그먼트를 유도해내는 실험이다. 일단 패킷의 제작을 위하여 필요한 서버와 클라이언트컴퓨터의 MAC 어드레스와 IP 어드레스를 통합형 네트워크 분석기를 이용해 얻는다.(도 29c 참조)

이렇게 실제로 수행하기 어려운 부분에 대하여 시뮬레이션(도 29d 참조)을 통해 단계적으로 실험, 실습함으로, 각 과정이 대한 이론적 부분을 확인하고 응용할 수 있도록 조력한다. 각 시뮬레이션을 실습하는 과정은 제공되는 라이브러리와 따라하기 식의 도식화된 절차를 제공함으로 쉽게 제작할 수 있으며, 제작 과정에서 프로토콜 처리를 위한 기반 지식의 습득 및 재확인 과정을 거치고, 패킷 생성능력을 배양하며, 프로토콜 제어모듈의 기반이 되는 패킷 재조합 능력 배양할 수 있도록 한다. (도 29e 참조)

교육용 프로토콜제어기 작성실습은 이전 과정의 패킷모니터링이나 패킷 재조합 기법 등의 학습내용을 바탕으로 실제 응용되는 과정중의 하나로, ICMP의 제어기능과 TCP의 하이제킹원리(TCP-Hijacking)를 이용하여 패킷 차단을 설계하는 것을 내용으로 한다. 구체적으로는 TCP 차단은 TCP 연결에서 정상적인 종료와는 달리 관련 호스트에서 연결 중단하는 비정상적인 상태들을 위해 REST라는 기능이 있는 데, 이에 착안하여 패킷을 가상적으로 조합해 연결 호스트들에게 전달함으로 연결을 종료시키는 것이다. 이렇게 연결을 해제하기 위해서는 한쪽에서 TCP의 제어필드중 RST비트가 SET비트가 셋트된 세그먼트를 송신하고, 이 패킷을 수신한 측에서 즉시 연결을 멈춤으로 성립하게 된다.

3 웨이 핸드세이킹을 이용한 교육용 프로토콜제어기 작성실습은 도 5b 에 도시된 바와 같이 이러한 이론을 바탕으로 하여 유해사이트 차단등에 사용할 수 있는 패킷 차단프로그램을 구현하는 실험이다. 프로그램의 구현에 있어 RST 패킷의 구성이 관건이 되는 데, 이를 구성하는 요소들을 분석하고 관련정보를 통합형 네트워크 분석기를 통해 획득하여 차단을 위한 조합패킷을 전달한 것으로 제공되는 소 스를 바탕으로 해당 패킷의 조합내용을 구현하고 실행하는 것을 내용으로 한다.

그러나, 패킷의 차단구현은 이것뿐만이 있는 것이 아니다. ICMP의 도달 불가능메시지를 이용하면 연결을 해제할 수 있는 데(도 5c 참조), TCP컨트롤기능처럼 그 기반으로 동작하는 IP에 대한 컨트롤기능을 이용하여 패킷의 송수신이 불가능함을 조작하여 연결 클라이언트들에게 보고하고, 이를 통해 TCP연결해제와 같이 하단부에서는 더 이상 송수신작업을 진행하지 않게 된다.

TCP와 ICMP를 이용한 교육용 프로토콜차단기 모두 제공되는 소스와 라이브러리를 바탕으로 구성하도록 되어 있는 데, 그 진행방식은 이전의 시뮬레이션 실습과정에서 언급한 내용과 같다. 이렇게 패킷의 제어에 관해 프로토콜의 특성을 이용하는 방법을 학습하며, 이를 통하여 전술한 프로토콜 제어모듈에서 사용되는 실제 동작원리를 이해하고 활용할 수 있는 기반을 다지게 되고, 프로토콜의 역할과 그에 따른 활용방법에 대한 능력을 향상시킨다.(도 30a ~ 도 30d 참조)

트래픽제너레이션 작성실습은 도 31a에 도시된 바와 같이 망상에서 벌어지는 다양한 상황의 연출을 위해 가상의 패킷을 작성하고, 이를 현실의 망에 유통시키는 과정으로 다양한 네트워크 성능과 네트워크를 구성하는 장비의 기능을 검증하기 위한 기본도구로 활용되는 트랙픽 제너레이션프로그램을 제작하는 것을 내용으로 한다. 이러한 실제 패킷을 제작하는 것은 위의 과정등을 통하여 연습을 하였지만, 트래픽 제너레이션실습은 특정 프로토콜이나 특정패킷을 작성하는 것이 아니라 일반적인 패킷을 원하는 형식에 맞게 자유로이 구성하고, 이를 이더넷상에 유통시키는 주기나 속도를 조절하여 이더넷망을 관찰하는 것이 주된 차이점이다.

제작된 프로그램을 통하여 처리율이나 지연정도 및 전송 효율등을 측정하고, 이를 기반정보로 하여 효율적인 네트워크 구성에 대해 고찰하도록 한다. 세부적인 실험내용은 도 31b ~ 도 31e 에 도시된 바와 같이 작성한 트래픽 모니터와 발생기를 이용하여 패킷의 송신 및 수신기능을 확인한다. 특히 베스트효과기능을 확인하는 실험을 한다. 이를 위해 먼저 트래픽을 발생시키기 위해 트래픽발생기를 모니터호스트의 IP와 포트를 대상으로 하여 전송속도와 패킷의 크기를 조절하여 생성하고, 모니터호스트에서는 트래픽 모니터를 통하여 전송되는 패킷의 개수와 속도를 측정한다.

이를 통하여 가장 수신율이 좋은 패킷의 크기와 속도의 조합을 측정할 수 있는 것이다. 예를 들어 실험결과를 통하여 패킷의 크기를 500바이트로하고 전송속도를 64Kbps로 설정하여 네트워크에 전송할 경우, 약 400Kbps - 500Kbps의 수신율로 수신되는 것을 확인할 수 있다. 베스트효과(BEST EFFORT) 전송은 네트 워크상에서 신뢰성없는 패킷을 전송하는 것으로, 네트워크의 대역폭이 허용하는 만큼 최대로 패킷을 전송하는 것을 의미한다. 이러한 베스트효과기능을 활용하면, 네트워크의 최대 대역폭을 확인할 수 있는 데, 패킷 발생기에서 베스트효과를 설정함으로써 이루어진다.

이상과 같이 구체적으로, 인터넷통신의 기반이해와 통신체계 학습을 위해 인터넷프로토콜을 실질적으로 구성해보고, 이렇게 작성된 패킷을 가지고 TCP나 ICMP의 3웨이 핸드세이킹 시뮬레이션, 핑시뮬레이션의 준비된 시나리오를 실습한다. 이는 이더넷, IP, TCP, ICMP헤더 전체를 포함하는 이더넷 프레임을 실제로 제작하고, 시나리오에 맞추어 생성 및 재조합을 수행해보는 실습과정으로 실제 패킷의 생성, 재조합 능력배양과 시나리오에 대한 정확한 개념정리 등을 내용으로 한다.

이렇듯 각각의 모듈이 서로 융합되어 동작하여 나오는 결과를 판단하여 실질적인 망에 대한 분석의 교육을 효과적으로 이룰 수 있게 된다. 개념적으로만 설명되어 있는 기존의 내용을 연결 및 선로점검모듈을 통한 해당 프로토콜에 속하는 특정 패턴의 패킷을 발생시키고, 이를 프로토콜 분석모듈과 네트워크 분석모듈을 통하여 실제 이 데이터가 네트워크망의 동작에 미치는 영향이나 트래픽 또는 각 연결간의 제어상황을 분석하여 전체적인 네트워크 구성과 흐름에 대하여 파악한다.

이러한 결과는 다시 제어모듈의 제어정책 수립에 영향을 미치게 되고, 이를 통하여 효과적인 네트워크관리에 대한 지식을 습득하도록 한다. 그리고, 가상의 패킷에 대한 작성과정과 이러한 패킷이 실제적으로 네트워크상에서 어떠한 정책사항과 관련되어 단편되거나 라우팅되어 전달되어 지는지에 관하여 시뮬레이션할 수 있도록 함으로 거시적인 내용뿐만 아니라 미시적인 제어내용이나 방식까지 학습할 수 있도록 구성된다.

이러한 네트워크 통합형 분석시스템은 연계와 연동의 체계아래 종래에 없었던 새로운 데이터 양식을 표현하고, 이를 각각의 구성 모듈에 대한 수행의 자료로 구축함으로써 보다 효율적인 네트워크의 분석과 관리시스템을 실현할 수 있게 된다. 아울러 통합된 시스템으로 단일인터페이스를 제공함에 사용에 대한 편리와 개별적인 장비 구입비용의 감소도 기대할 수 있다.

이러한 분석 및 관리시스템을 구축하여, 가상의 네트워크와 같은 실험적인 구성이 아닌 현실의 네트워크 내용에 대하여 실험 및 실습할 수 있는 토대를 구축하고, 관련지식을 직접적으로 수행하여 실질적인 네트워크 구성의 원리와 세부적 제어에 대한 지식을 습득하는 네트워크 관련 고급인력 양성의 기반이 되게 되며, 가상의 네트워크 구현이나 관리에 필요한 부가적인 비용을 절약한다.

이상 설명한 바와 같이 본 발명에 의하면, 종합적인 네트워크 관리를 위한 통합형 네트워크 분석시스템을 통하여 각각 모듈에서 발생하는 개별적인 데이터 뿐만 아니라, 이를 기반으로 하는 새로운 제3의 데이터를 창출하여 다양한 네트워크 환경에 대한 분석자료를 도출 할 수 있으며, 복수의 설비에 따른 비용을 절감할 수 있을 뿐만 아니라 단일인터페이스를 바탕으로 하는 용이한 사용 등의 장점을 기대할 수 있다.

또한, 본 발명은 각종 공공기관이나 학교 등에서의 망 관리 또는 전자상거래등 보안솔루션을 필요로 하는 회사에서 네트워크 분석 및 관리통로, NIC나 허브 등의 통신장비 개발업체 및 새로운 프로토콜 개발회사에서 테스트/연구개발 도구로, 정보 통신 관련학교 및 통신장비 관련 산업체의 교육장비로 활용할 수 있다.

Claims (10)

1. 단일/연속/불연속의 세 가지 입력방식을 통해 입력된 IP 대역에 대하여 반복횟수, 타임아웃, 패킷크기, 지연 시간을 설정하고, 설정된 수치에 의하여 핑을 수행하는 핑테스터(14), 특정 IP 대역을 검사하여 IP사용률, 평균 RTT(ROUND TRIP TIME), 검색된 노드에 대한 개인 상세정보 등을 나타내는 자동스캔(ATUO SCAN)(15), ICMP의 TTL(TIME TO LIVE)값에 따른 라우터의 반환값을 이용하여 인터넷상의 경로를 시각적(visual)으로 구체화시키는 트레이스라우터(11) 및, 도메인에 대한 연결 IP 어드레스와 등록자 정보를 나타내는 DNS 룩업(DNS LOOKUP)/WHOIS(12, 13)로 구성되는 연결 및 선로상태점검모듈(10);

   SNMP 메니지먼트가 이식되어 있는 노드를 모르더라도 특정대역을 설정하고, 검색할 경우 각 노드에 대한 특성을 자동으로 파악하고, 파악된 노드에 대하여 MIB 데이터를 요청하여 수집된 데이터를 트리구조로 도식화하여 표현하는 SNMP분석기(21)와, 라우터나 스위치의 도움 없이 네트워크에서 모니터링된 패킷을 이용하여 RMON MIB 구성 표준에 준하여 네트워크에 필요한 사항을 기록하는 RMON 분석기(22)로 구성되어서 SNMP 프로토콜을 이용하여 네트워크 망상의 총체적인 데이터베이스를 구축하는 네트워크 분석모듈(20);

   모니터링 개시후의 TCP 연결상태를 실시간을 나타내며 나타내는 수집된 패킷들을 분석하여 패킷에 대한 송수신IP 및 성격을 보여주고, 해당 내용을 HEX값으로 표현하며, 종류에 맞게 구조화시켜 트리구조로 표현하며, TCP 각 연결당 해당 패킷의 흐름을 도식화시켜 보여주며, 수집된 패킷을 재조합하여 통신상에서 주고받는 데이터 단위로 구성하여 추상적인 패킷의 내용을 실제 통신내용으로 구체화시키는 기능을 수행하며, 특정 프로토콜 모델을 가지지 않는 불명확한 패킷들에 대하여 일부분의 일치 여부를 검사하여 데이터 일치필터를 추출하는 프로토콜디코더(31)와, 네트워크 전체 사용율 및 수신 패킷수와 에러수를 표시하며 서브넷에서 발생하는 트래픽 중에서 소정 랭킹 이상의 호스트를 분석하며, 이더넷상의 대표 3계층인 네트워크/트랜스포트/어플리케이션 레이어별 프로토콜 사용을 표시하며, 패킷 사이즈 별로 통계치를 제공하며, 네트워크 장애 발생시 오류 내용을 표시하는 NMS 데이터표시(32)로 구성되어서 네트워크 망상에 구현되는 패킷의 구성 프로토콜을 분석하는 프로토콜 분석 모듈(30); 및,

   필터링 조건에 맞지 않는 데이터를 송수신하는 경우, 즉시 가상패킷을 조합하여 해당 호스트로 보냄으로써 연결을 끊어서 프로토콜 제어를 수행하는 프로토콜 제어모듈(40)을 포함하여 구성되는 것을 특징으로 하는 통합형 네트워크 분석 시스템.
2. 청구항 1에 있어서, 상기 프로토콜디코더(31)는,

   모니터링 시간, 메모리사용율, 전체수신패킷수, TCP간의 총 연결포트와 프레임크기, 성립/종료/재설정의 수를 실시간으로 나타내는 TCP스택윈도우;

   수집된 자료들을 분석하여 패킷에 대한 송수신IP 및 성격을 보여주고 해당 내용을 HEX값으로 표현하며 종류에 맞게 구조화시켜 트리구조로 표현한 내용들을 출력하며 수집된 패킷에 대해 연결을 단위로 재조합하여 통신상에서 주고받은 데이터 단위로 구성함으로, 추상적인 패킷의 내용을 기존의 실제 통신내용으로 구체화시키는 디코더윈도우; 및,

   TCP 각 연결 당 해당 패킷의 흐름을 도식화시켜 보여주는 TCP플로우윈도우로 구성되는 것을 특징으로 하는 통합형 네트워크 분석 시스템.
3. 청구항 2에 있어서, NMS 데이터표시(32)는,

   전체 사용율 및 수신 패킷수(MULTICAST/BROADCAST/UNCAST)와 에러수(CHECKSUM/FRAGMENT ERRORS)를 나타내는 플로우보드(33);

   서브넷에서 발생하는 트래픽중에서 상위 10개의 호스트를 분석한 '호스트 톱10'(HOST TOP10)(38);

   이더넷상의 대표 3계층인 네트워크/트랜스포트/어플리케이션 레이어별 프로토콜 사용을 표시하여 주는 프로토콜 디스트리뷰션(34);

   현재 네트워크 상에 트래픽이 발생하고 있는 연결 상태를 출력하는 트래픽매트릭스(37);

   패킷 사이즈에 대해 통계치를 제공하는 스테이스틱(35);

   각종 통계를 시간대별로 제공하는 유저히스토리(36); 및,

   네트워크 장애 발생시 오류 내용에 대한 표시를 하는 알람(39)으로 구성되는 것을 특징으로 하는 통합형 네트워크 분석 시스템
4. 삭제
5. 프로토콜 분석용 교육프로그램으로 실제 패킷을 분석하고, 학습을 바탕으로 한 가상패킷을 생성한 다음 청구항 1에 의한 통합형 네트워크 분석 시스템을 이용하여 실제 네트워크에 전송하며,

   상기 통합형 네트워크 분석 시스템의 프로토콜 분석모듈을 이용하여 패킷이 올바르게 전송되는지를 검사하고, 가상패킷생성기와 교육용프로토콜분석기를 통해 작성 실습한 후에, 상기 통합형 네트워크 분석 시스템을 통해 검증하며,

   네트워크 시뮬레이션실습 및 네트워크 제어실습을 수행한 다음 상기 통합형 네트워크 분석 시스템을 통해 검증하는 것을 특징으로 하되,

   상기 네트워크 시뮬레이션실습은 다중화/역다중화 가상실습모듈, 인터넷 프로토콜 가상설계모듈, 바이트오더 가상실습, 프로토콜 테스터실습모듈로 구성되어 각각의 개별 모듈별로 가상의 네트워크 실습환경을 가상으로 제공하며,

   상기 네트워크 제어실습은, 트래픽 제너레이션작성실습, TCP/IP 3웨이 핸드세이킹, ARP요청/응답작성실습 및 ICMP기반 트레이스 라우터 작성실습으로 이루어진 것으로 프로토콜별로 진행의 단계별 수행을 통해 성질을 이해하는 것을 특징으로 하는 통합형 네트워크 분석 시스템을 이용한 교육실습방법.
6. 청구항 5에 있어서,

   상기 교육용프로그램 제작실습은, CRawPacketEdu, CPacketGen 및 ICMPSocket 라이브러리로 된 프로그램라이브러리모듈과, 교육용 프로토콜제어기, 교육용 프로토콜분석기 및 교육용 네트워크분석기로 된 프로그램소스를 통해 실습용 프로그램을 수행한 것을 특징으로 하는 통합형 네트워크분석시스템을 이용한 교육실습방법.
7. 삭제
8. 삭제
9. 삭제
10. 삭제

Images