오픈 소스 도구를 사용하여 VM과 VM 간의 네트워크 트래픽 패턴 시각화

  • 아티클

패킷 캡처에는 네트워크 포렌식 및 심층 패킷 검사를 수행하는 데 도움이 되는 네트워크 데이터가 포함되어 있습니다. 패킷 캡처를 분석하고 네트워크에 대한 인사이트를 얻을 수 있는 많은 오픈 소스 도구를 사용할 수 있습니다. 이러한 도구 중 하나는 패킷 캡처를 위한 오픈 소스 시각화 도구인 CapAnalysis입니다.

패킷 캡처 데이터 시각화는 네트워크의 패턴 및 오류에 대한 정보를 신속하게 얻을 수 있는 유용한 방법입니다. 시각화는 이러한 인사이트를 쉽게 사용할 수 있는 형식으로 공유하는 방법도 제공합니다.

Azure Network Watcher를 사용하면 네트워크에서 패킷 캡처를 수행하여 데이터를 캡처할 수 있습니다. 이 문서에서는 Network Watcher와 함께 CapAnalysis를 사용하여 패킷 캡처를 시각화하고 인사이트를 얻는 방법에 대한 연습을 제공합니다.

시나리오

이 문서에서는 Azure의 VM(가상 머신)에 배포된 간단한 웹 애플리케이션이 있다고 가정합니다. 오픈 소스 도구를 사용하여 네트워크 트래픽을 시각화하고 흐름 패턴 및 변칙을 신속하게 식별하려고 합니다. Network Watcher를 사용하면 네트워크 환경의 패킷 캡처를 가져와 스토리지 계정에 직접 저장할 수 있습니다. 그러면 CapAnalysis가 스토리지 BLOB에서 직접 패킷 캡처를 수집하고 해당 콘텐츠를 시각화할 수 있습니다.

시나리오

CapAnalysis 설치

가상 머신에 CapAnalysis를 설치하려면 공식 CapAnalysis 지침을 참조 하세요.

CapAnalysis에 원격으로 액세스하려면 새 인바운드 보안 규칙을 추가하여 VM에서 포트 9877을 열어야 합니다. NSG(네트워크 보안 그룹)에서 규칙을 만드는 방법에 대한 자세한 내용은 보안 규칙 만들기를 참조하세요. 규칙을 성공적으로 추가한 후에는 .에서 http://<PublicIP>:9877CapAnalysis에 액세스할 수 있습니다.

Azure Network Watcher를 사용하여 패킷 캡처 세션 시작

Network Watcher를 사용하면 패킷을 캡처하여 가상 머신 내/외부의 트래픽을 추적할 수 있습니다. 패킷 캡처 세션을 시작하려면 Network Watcher 문서를 사용하여 패킷 캡처 관리 문서의 지침을 따릅니다. 패킷 캡처는 CapAnalysis에서 액세스할 수 있는 스토리지 Blob에 저장할 수 있습니다.

CapAnalysis에 패킷 캡처 업로드

Network Watcher에서 패킷 캡처를 직접 업로드할 수 있습니다. URL에서 가져오기 탭을 사용하고 패킷 캡처가 저장되는 스토리지 Blob에 대한 링크를 제공합니다.

CapAnalysis에 대한 링크를 제공하는 경우 스토리지 Blob URL에 SAS(공유 액세스 서명) 토큰을 추가해야 합니다. 스토리지 계정에서 공유 액세스 서명으로 이동하여 허용된 권한을 지정하고 SAS 생성 단추를 선택하여 토큰을 만듭니다. 그런 다음, SAS 토큰을 패킷 캡처의 스토리지 Blob URL에 추가할 수 있습니다.

결과 URL은 다음과 같습니다 http://storageaccount.blob.core.windows.net/container/location?addSASkeyhere.

패킷 캡처 분석

CapAnalysis는 패킷 캡처를 시각화하는 다양한 옵션을 제공합니다. 각각은 다른 관점에서 분석을 제공합니다. 이러한 시각적 요약 정보를 통해 네트워크 트래픽 추세를 이해하고 신속하게 비정상적인 활동을 발견할 수 있습니다.

다음 목록에서는 CapAnalysis 기능 중 몇 가지를 설명합니다.

  • 흐름 테이블

    흐름 탭에는 패킷 데이터의 흐름이 나열됩니다. 각 흐름에 대해 탭에는 타임스탬프, 원본 및 대상 IP 및 관련 프로토콜과 같은 정보가 표시됩니다.

    capanalysis 흐름 페이지

  • 프로토콜 개요

    개요 탭은 다양한 프로토콜 및 지역에 대한 네트워크 트래픽의 분포를 보여 줍니다.

    capanalysis 프로토콜 개요

  • 통계

    통계 탭에는 네트워크 트래픽 통계가 표시됩니다. 이 정보에는 원본 및 대상 IP에서 보내고 받은 바이트, 각 원본 및 대상 IP에 대한 흐름, 다양한 흐름에 사용되는 프로토콜 및 흐름 기간이 포함됩니다.

    capanalysis 통계

  • 지리적 맵

    GeoMAP 탭은 네트워크 트래픽의 지도 보기를 제공합니다. 색은 각 국가/지역의 트래픽 볼륨으로 확장됩니다. 강조 표시된 국가/지역을 선택하여 국가/지역의 IP에서 보내고 받은 데이터의 비율과 같은 추가 흐름 통계를 볼 수 있습니다.

    geomap

  • 필터

    CapAnalysis는 특정 패킷을 신속하게 분석할 수 있는 필터 집합을 제공합니다. 예를 들어 프로토콜을 기준으로 데이터를 필터링하여 해당 트래픽 하위 집합에 대한 구체적인 정보를 얻을 수 있습니다.

    필터

CapAnalysis의 모든 기능에 대해 자세히 알아보려면 도구의 웹 사이트이동하세요.

결론

Network Watcher 패킷 캡처 기능을 사용하여 네트워크 포렌식 작업을 수행하고 네트워크 트래픽을 더 잘 이해하는 데 필요한 데이터를 캡처할 수 있습니다. 이 문서의 시나리오에서는 오픈 소스 시각화 도구를 사용하여 Network Watcher에서 패킷 캡처를 통합하는 방법을 보여 줍니다. CapAnalysis와 같은 도구를 사용하여 패킷 캡처를 시각화하면 심층 패킷 검사를 수행하고 네트워크 트래픽의 추세를 빠르게 식별할 수 있습니다.

다음 단계