오픈 소스 도구를 사용하여 VM과 주고 받는 네트워크 트래픽 패턴 시각화Visualize network traffic patterns to and from your VMs using open-source tools

패킷 캡처에는 네트워크 과학 수사 및 상세한 패킷 검사를 수행할 수 있는 네트워크 데이터가 포함됩니다.Packet captures contain network data that allow you to perform network forensics and deep packet inspection. 패킷 캡처를 분석하여 네트워크에 대한 정보를 파악할 수 있는 여러 오픈 소스 도구가 있습니다.There are many opens source tools you can use to analyze packet captures to gain insights about your network. 이러한 도구 중 하나는 오픈 소스 패킷 캡처 시각화 도구인 CapAnalysis입니다.One such tool is CapAnalysis, an open-source packet capture visualization tool. 패킷 캡처 데이터 시각화는 네트워크의 패턴 및 오류에 대한 정보를 신속하게 얻을 수 있는 유용한 방법입니다.Visualizing packet capture data is a valuable way to quickly derive insights on patterns and anomalies within your network. 또한 시각화는 이러한 정보를 손쉽게 공유할 수 있는 수단을 제공합니다.Visualizations also provide a means of sharing such insights in an easily consumable manner.

Azure의 Network Watcher는 네트워크에서 패킷 캡처를 수행하여 데이터를 캡처하는 기능을 제공합니다.Azure’s Network Watcher provides you the ability to capture data by allowing you to perform packet captures on your network. 이 문서에서는 CapAnalysis를 Network Watcher와 함께 사용하여 패킷 캡처를 시각화하고 정보를 얻는 방법을 연습합니다.This article, provides a walk through of how to visualize and gain insights from packet captures using CapAnalysis with Network Watcher.

시나리오Scenario

Azure VM에 간단한 웹 애플리케이션을 배포했으며 오픈 소스 도구를 통해 네트워크 트래픽을 시각화하여 흐름 패턴과 오류를 신속하게 식별하고자 합니다.You have a simple web application deployed on a VM in Azure want to use open-source tools to visualize its network traffic to quickly identify flow patterns and any possible anomalies. Network Watcher를 사용하면 네트워크 환경의 패킷 캡처를 획득하여 스토리지 계정에 바로 저장할 수 있습니다.With Network Watcher, you can obtain a packet capture of your network environment and directly store it on your storage account. 그러면 CapAnalysis가 스토리지 BLOB에서 직접 패킷 캡처를 수집하고 해당 콘텐츠를 시각화할 수 있습니다.CapAnalysis can then ingest the packet capture directly from the storage blob and visualize its contents.

시나리오

단계Steps

CapAnalysis 설치Install CapAnalysis

가상 머신에 CapAnalysis를 설치하는 방법은 https://www.capanalysis.net/ca/how-to-install-capanalysis 에서 공식 절차를 참조하세요.To install CapAnalysis on a virtual machine, you can refer to the official instructions here https://www.capanalysis.net/ca/how-to-install-capanalysis. CapAnalysis에 원격으로 액세스하려면 새 인바운드 보안 규칙을 추가하여 VM에서 9877 포트를 열어야 합니다.In order access CapAnalysis remotely, you need to open port 9877 on your VM by adding a new inbound security rule. 네트워크 보안 그룹에서 규칙을 만드는 방법에 대한 자세한 내용은 기존 NSG에서 규칙 만들기를 참조하세요.For more about creating rules in Network Security Groups, refer to Create rules in an existing NSG. 규칙이 추가되면 http://<PublicIP>:9877에서 CapAnalysis에 액세스할 수 있습니다.Once the rule has been successfully added, you should be able to access CapAnalysis from http://<PublicIP>:9877

Azure Network Watcher를 사용하여 패킷 캡처 세션 시작Use Azure Network Watcher to start a packet capture session

Network Watcher를 사용하면 가상 컴퓨터가 주고 받는 트래픽을 추적하는 패킷을 캡처할 수 있습니다.Network Watcher allows you to capture packets to track traffic in and out of a virtual machine. 패킷 캡처 세션을 시작하는 방법은 Network Watcher를 사용하여 패킷 캡처 관리의 지침을 참조하세요.You can refer to the instructions at Manage packet captures with Network Watcher to start a packet capture session. 패킷 캡처는 CapAnalysis가 액세스할 수 있도록 스토리지 BLOB에 저장할 수 있습니다.A packet capture can be stored in a storage blob to be accessed by CapAnalysis.

CapAnalysis에 패킷 캡처 업로드Upload a packet capture to CapAnalysis

"URL에서 가져오기" 탭을 사용하여 패킷 캡처가 저장된 스토리지 BLOB의 링크를 제공하는 방법을 통해 Network Watcher가 만든 패킷 캡처를 직접 업로드할 수 있습니다.You can directly upload a packet capture taken by network watcher using the “Import from URL” tab and providing a link to the storage blob where the packet capture is stored.

CapAnalysis에 대한 링크를 제공할 때 스토리지 BLOB URL에 SAS 토큰을 추가해야 합니다.When providing a link to CapAnalysis, make sure to append a SAS token to the storage blob URL. 이렇게 하려면 스토리지 계정에서 공유 액세스 서명으로 이동하여 허용되는 권한을 지정하고 SAS 생성 단추를 눌러 토큰을 만들어야 합니다.To do this, navigate to Shared access signature from the storage account, designate the allowed permissions, and press the Generate SAS button to create a token. 그런 다음, SAS 토큰을 패킷 캡처 스토리지 BLOB URL에 추가할 수 있습니다.You can then append the SAS token to the packet capture storage blob URL.

결과 URL은 다음 URL과 같습니다. http://storageaccount.blob.core.windows.net/container/location?addSASkeyhereThe resulting URL will look something like the following URL: http://storageaccount.blob.core.windows.net/container/location?addSASkeyhere

패킷 캡처 분석Analyzing packet captures

CapAnalysis는 패킷 캡처를 시각화하는 다양한 옵션을 제공하며, 각 옵션은 서로 다른 관점에서 패킷 캡처를 분석합니다.CapAnalysis offers various options to visualize your packet capture, each providing analysis from a different perspective. 이러한 시각적 요약 정보를 통해 네트워크 트래픽 추세를 이해하고 신속하게 비정상적인 활동을 발견할 수 있습니다.With these visual summaries, you can understand your network traffic trends and quickly spot any unusual activity. 이러한 기능 중 일부는 다음 목록에 표시됩니다.A few of these features are shown in the following list:

  1. 흐름 테이블Flow Tables

    이 테이블은 패킷 데이터의 흐름 목록, 흐름과 연결된 타임 스탬프 및 흐름과 연결된 다양한 프로토콜 그리고 원본 및 대상 IP를 제공합니다.This table gives you the list of flows in the packet data, the time stamp associated with the flows and the various protocols associated with the flow, as well as source and destination IP.

    capanalysis 흐름 페이지

  2. 프로토콜 개요Protocol Overview

    이 창에서는 다양한 프로토콜 및 지리적 위치의 네트워크 트래픽 분산을 신속하게 확인할 수 있습니다.This pane allows you to quickly see the distribution of network traffic over the various protocols and geographies.

    capanalysis 프로토콜 개요

  3. 통계Statistics

    이 창에서는 원본 및 대상 IP와 주고 받은 바이트, 각 원본 및 대상 IP의 흐름, 다양한 흐름에 사용된 프로토콜, 흐름의 기간 등 네트워크 트래픽 통계를 볼 수 있습니다.This pane allows you to view network traffic statistics – bytes sent and received from source and destination IPs, flows for each of the source and destination IPs, protocol used for various flows, and the duration of flows.

    capanalysis 통계

  4. 지역 지도Geomap

    이 창을 사용 하면 각 국가/지역의 트래픽 볼륨을 확장 하는 색을 사용 하 여 네트워크 트래픽의 지도 보기를 사용 하 여 할 수 있습니다.This pane provides you with a map view of your network traffic, with colors scaling to the volume of traffic from each country/region. 해당 국가/지역의 Ip에서 보내거나 받는 데이터 비율 같은 추가 흐름 통계를 보는 데 강조 표시 된 국가 선택할 수 있습니다.You can select highlighted countries/regions to view additional flow statistics such as the proportion of data sent and received from IPs in that country/region.

    지역 지도

  5. 필터Filters

    CapAnalysis는 특정 패킷을 신속하게 분석할 수 있는 필터 집합을 제공합니다.CapAnalysis provides a set of filters for quick analysis of specific packets. 예를 들어 프로토콜을 기준으로 데이터를 필터링하여 해당 트래픽 하위 집합에 대한 구체적인 정보를 얻을 수 있습니다.For example, you can choose to filter the data by protocol to gain specific insights on that subset of traffic.

    filters

    모든 CapAnalysis의 기능에 대해 자세히 알아보려면 https://www.capanalysis.net/ca/#about을 참조하세요.Visit https://www.capanalysis.net/ca/#about to learn more about all CapAnalysis' capabilities.

결론Conclusion

Network Watcher의 패킷 캡처 기능을 사용하면 네트워크 과학 수사를 수행하고 네트워크 트래픽을 보다 정확하게 이해하는 데 필요한 데이터를 캡처할 수 있습니다.Network Watcher’s packet capture feature allows you to capture the data necessary to perform network forensics and better understand your network traffic. 이 시나리오에서는 Network Watcher의 패킷 캡처를 오픈 소스 시각화 도구와 간단하게 통합하는 방법을 살펴보았습니다.In this scenario, we showed how packet captures from Network Watcher can easily be integrated with open-source visualization tools. CapAnalysis 같은 오픈 소스 도구를 사용하여 패킷 캡처를 시각화하면 패킷을 자세히 검사하여 네트워크 트래픽의 추세를 신속하게 파악할 수 있습니다.By using open-source tools such as CapAnalysis to visualize packets captures, you can perform deep packet inspection and quickly identify trends within your network traffic.

다음 단계Next steps

NSG 흐름 기록을 방문하여 NSG 흐름 로그에 대해 자세히 알아보기To learn more about NSG flow logs, visit NSG Flow logs

Power BI에서 NSG 흐름 로그 시각화를 방문하여 Power BI로 NSG 흐름 로그를 시각화하는 방법 알아보기Learn how to visualize your NSG flow logs with Power BI by visiting Visualize NSG flows logs with Power BI