맨위로

Goal

이번 강의 에서는 네트워크에서 시간에 대해서 살펴보고 와이어샤크에서의 시간에 대한 기능을 살펴 보도록하겠습니다.

네트워크 문제점 식별을 위한 시간 사용

네트워크를 분석할때 에는 시간 칼럼을 잘살펴보아야 된다.
네트워크의 성능은 오랜 지연, 접근오류, 데이터를 얻기 위해서 요구되는 과도한 패킷수, 기타원인 등으로 느려질 수 있다.
통신에서 지연으로 인해 성능이 저하될 때 요청과 확인 응답 사이의 시간 격차, 확인 응답과 응답 사이의 시간 격차 등을 살펴 보아야 한다.

와이어샤크의 패킷 시간 측정 방법

캡쳐 작업이 진행되면 libcap/WinPcap 라이브러이에서 타임스탬프 값을 가져온다.  이 라이브러리는 운영체제의 커널에서 타임스탬프 값을 가져온다. 추적 파일을 저장할 때 패킷의 타임스탬프가 함께 저장되며 패킷의 도착 시간은 파일이 열렸을 때 표시될수 있다.

Pcap 파일의 형식은 각 패킷에 대한 레코드 헤더로 구성된다. 이 헤더는 협정 세계시 1970년 1월 1일 00:00:00:00초 이후에 패킷의 타임스탬프 값을 정의하는 4바이트 값을 갖는다.

시간 표시 형식 선택

와이어 샤크는 아래의 그림 1과 같은 6가지 시간 설정을 제공합니다. 
시간 칼럼 설정을 정의 하려면 View > Time Display Format 에서 설정 할수 있다.


<그림1>
  • Seconds Sincd Epoch - 와이어 샤크의 Second Since Epoch 시간은 1970년 1월 1일 이후로 측정되는데,이는 유닉스 시간이라고 한다. (잘 사용되지 않는다.)
  • Seconds Since Beginning of Capture - 캡쳐 시작 이후의 시간을 측정하며, 기본설정이다. 시간 칼럼의 첫번째 패킷은 0의 시간 값으로 설정된다. 다른 모든 패킷의 타임스탬프는 첫번째 패킷과 비교해서 측정된다.
  • Seconds Since Previous Captured Packet - 델타 시간 설정이라고도 하며 한 패킷의 종단점 부터 다음 패킷의 종단점 까지 시간을 측정한다.
  • Seconds Since Previous Displayed Packet - 이전에 표시된 패킷이후의 시간은 단지 표시된 패킷의 종단점으로 부터 다음 표시된 패킷까지 델타 시간 값만 계산한다.

 

 
 시간 값으로 지연 식별


  • 지연으로 발생되는 느린 성능을 구분하기 위해 시간표시 형태를 Seconds Since Previous Displayed Packet 로 선택해 지연 시간이 긴 패킷을 식별하기 위한 시간 칼럼을 정렬할 수 있다.
  • Seconds Since Beginning of Capture 로 설정해서 내림 차순으로 정렬후 분석 할수 있다.


시간 칼럼 추가 생성

패킷 목록 창에서 2개 이상의 시간 칼럼을 보려면 정의된 시간 칼럼 값을 추가 하기 위해 Edit > Preferences 를 이용하거나 프레임 헤더를 확장해 시간 필드에서 오른쪽 클릭해 Apply As Column 을 선택한다. 미리 정의된 시간 칼럼 옵션은 다음과 같다.

  • Absolute date and time - 캡처 호스트의 시간과 날짜에 기반을 둔다.
  • Absolute time - 캡처 호스트의 시간에 기반을 둔다.
  • Delta time - 대화에서 한 패킷의 종단점 부터 다음 패킷의 종단점까지 시간이다.
  • Delta time displayed - 패킷의 한 종단점 부터 표시된 패킷의 다음 패킷 종단점 까지 시간이다.
  • Relative time - 추적 파일에서 첫 번째 패킷으로 부터의 시간이다.
  • Relative time (대화) - 대화에 대한 추적 파일에서 첫 번째 패킷으로부터의 시간이다.
  • Time(format as Specified) - 이 설정은 View > Time Display Format 를 이용해 설정한 값을 표시 해준다.

 

요약 통계 보기


요약 통계는 파일형식 정보, 파일 길이, 시간 경과, 패킷의 개수, 초당 평균 패킷, 패킷 크기의 평균, 총 바이트 크기, 초당 평균 바이트 등을 포함한다.  요약 정보는 적당한 네트워크 성능과 문제가 있는 네트워크 성능을 비교할 때 중요하다.
Statistics > Summary로 볼수 있다.

단일 요약창에서 트래픽 유형 비교
하나의 요약 창에서는 3개의 트래픽 유형을 비교할 수 있다.

  • 추적 파일에서 모든 트래픽
  • 추적 파일에서 마킹된 모든 패킷
  • 추적 파일에서 표시된 모든 패킷
3가지 트래픽 유형을 비교 하기위해서는 다음과 같이 해야한다.

  1. 디스플레이 필터를 적용하고, Edit > Mark All Displayed Packets 를 선택해 필터를 초기화 한다.
  2. 관심있는 트래픽 유형을 위해 새로운 디스플레이 필터를 적용한다.
  3. 마킹된 패킷과 필터된 패킷을 비교하기 위해 캡쳐된 모든 트래픽을 보려면 Edit > Mark All dispalyed Packets를 선택한다.

그림 2 와 같은 모습으로 요약을 할수 있다.

<그림 2>

지금 까지 와이어샤크,분석에서의 시간에 대해서 알아 보았습니다. 시간은 네트워크에 문제원인을 식별할때 많은 정보를 제공해 줄것입니다. 그러기 위해서 알맞은 기준으로 볼수 있고 요약해 비교할 수 있어야합니다. 
다음 강의 에서는 기본 추적 파일 통계 해석에 대해서 알아보겠습니다.


와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크 ,와이어샤크



Posted by STIH

댓글을 달아 주세요