트래픽 패턴 분석을 위한 5가지 최고의 도구 및 비즈니스에 도움이 되는 방법

네트워크 트래픽 패턴 분석은 네트워크 관리자가 네트워크 사용 현황과 더불어, 그 사용 방식에 대한 심도 깊은 이해를 얻을 수 있도록 돕는 중요한 과정입니다. 특정 네트워크 구간에서 혼잡이 발생하고 있다는 사실을 인지하는 것과 그 혼잡의 근본 원인을 파악하는 것은 매우 다릅니다. 이러한 원인 규명 없이 단순히 대역폭을 늘리는 것은 비용 효율적인 해결책이 아닙니다. 네트워크 트래픽 패턴 분석은 이러한 문제에 대한 효과적인 해결책을 제시할 수 있으며, 본 글에서는 사용 가능한 최상의 도구들을 자세히 살펴보겠습니다.

본격적인 분석을 시작하기 전에, 몇 가지 중요한 이론적 배경을 살펴보겠습니다. 먼저 트래픽 패턴 분석의 정의를 명확히 하고, 트래픽 패턴 분석 도구의 핵심 구성 요소를 알아볼 것입니다. 그 후, 대부분의 트래픽 패턴 분석 도구의 근간이 되는 NetFlow와 같은 흐름 보고 시스템 및 프로토콜에 대해 심층적으로 논의할 것입니다. Cisco의 NetFlow 프로토콜과 다양한 파생 버전을 먼저 검토하고, 경쟁 프로토콜인 sFlow를 살펴볼 것입니다. 이러한 정보를 바탕으로, 시중에서 가장 우수한 트래픽 패턴 분석 도구들을 분석할 준비를 마쳤습니다.

트래픽 패턴 분석의 핵심

가장 기본적인 수준에서, 네트워크 트래픽 패턴 분석은 네트워크 성능, 보안, 운영 및 관리를 위해 네트워크 트래픽을 기록, 검토, 그리고 분석하는 과정입니다. 더 구체적으로 말하면, 수동 및 자동화 기법을 활용하여 네트워크 트래픽 내의 세부 정보와 통계를 상세하게 분석하는 것을 의미합니다.

네트워크 트래픽 모니터링은 크게 두 가지 범주로 나눌 수 있습니다. 첫 번째는 대역폭 사용량 모니터링으로, 네트워크의 특정 지점에서 전송되는 트래픽의 양을 파악할 수 있습니다. 하지만 이 방식은 트래픽의 특성에 대한 정보는 제공하지 않습니다. 두 번째 유형은 네트워크 트래픽 패턴 분석으로, 우리가 오늘 논의할 핵심 주제입니다. 이는 네트워크를 통해 이동하는 데이터 패킷의 유형에 대한 심층적인 통찰력을 제공하는 데 초점을 맞춥니다.

네트워크 트래픽 패턴 분석은 수동으로도 수행할 수 있지만, 대부분의 경우 네트워크 모니터링 도구를 통해 이루어집니다. 수동 분석은 상당한 노력을 필요로 하기 때문입니다. 트래픽 분석을 통해 얻은 통계는 네트워크 사용 현황을 이해하고 평가하는 데 도움이 됩니다. 이는 데이터 패킷의 유형, 크기, 출발지, 목적지와 같은 주요 정보를 제공하며, 때로는 데이터 패킷의 내용에 대한 정보도 포함할 수 있습니다.

네트워크 보안 팀은 트래픽 패턴 분석을 활용하여 악성 또는 의심스러운 패킷을 식별할 수 있습니다. 마찬가지로, 네트워크 관리자들은 다운로드 및 업로드 속도, 처리량, 콘텐츠 등을 모니터링하여 네트워크 사용 현황을 더욱 깊이 있게 파악할 수 있습니다.

하지만 트래픽 패턴 분석은 공격자나 침입자가 네트워크 트래픽 패턴을 분석하여 취약점을 찾거나 민감한 데이터를 얻는 데 사용될 수 있다는 양면성을 가지고 있습니다.

NetFlow 및 기타 흐름 보고 시스템

NetFlow는 1996년 Cisco 라우터에 도입된 기능으로, 네트워크 인터페이스를 통해 들어오고 나가는 IP 트래픽을 수집하는 기능을 제공합니다. 이는 데이터가 집계만 되는 대역폭 모니터링과는 달리, 데이터를 수집하여 분석합니다. 이렇게 수집된 데이터를 통해 트래픽의 출발지와 목적지, 클래스, 서비스 유형 등을 파악하고, 궁극적으로 네트워크 정체의 원인을 규명할 수 있습니다.

일반적인 NetFlow 모니터링 환경은 세 가지 주요 구성 요소로 구성됩니다.

NetFlow 용어에서 '흐름'이란 수신 인터페이스, 출발지 및 목적지 IP 주소, IP 프로토콜(TCP/UDP/ICMP 등), 출발지 및 목적지 IP 포트, IP 서비스 유형과 같은 특정 속성을 공유하는 패킷의 단방향 시퀀스를 의미합니다. 각 개별 흐름에 대한 자세한 데이터는 흐름 수집기로 내보내기 전에 흐름 내보내기에서 수집됩니다. 오늘날 대부분의 경우, 흐름 수집기와 분석기는 동일한 시스템의 일부이며, 별도로 존재하는 경우는 드뭅니다.

과거에는 Cisco의 독점 기술이었던 NetFlow는 이제 Juniper, Alcatel-Lucent, Nortel 등 다양한 공급업체의 장비에서 사용할 수 있습니다. 일부 공급업체는 이를 Juniper의 J-flow와 같이 다른 이름으로 부릅니다. IPFIX(Internet Protocol Flow Information eXport)라는 비교적 최근의 IETF 표준화 버전도 있습니다.

sFlow는 NetFlow와 유사하지만, 정보 수집 방식에 차이가 있는 기술입니다. sFlow는 데이터 샘플링 방식을 사용하여 더 자세한 정보를 제공합니다. 이로 인해 sFlow 데이터를 처리할 수 있는 NetFlow 분석기 및 수집기는 매우 적으며, 두 기술은 상호 호환성이 낮습니다.

최고의 트래픽 패턴 분석 도구

네트워크 트래픽 패턴 분석을 위한 다양한 도구가 시장에 나와 있습니다. 대부분의 도구는 NetFlow 데이터를 수집하여 의미 있는 시각적 형태로 제공하지만, 일부는 유사한 목표를 달성하기 위해 다른 기술을 사용합니다.

1. SolarWinds NetFlow 트래픽 분석기(무료 평가판)

가장 먼저 소개할 도구는 SolarWinds NetFlow 트래픽 분석기(NTA)입니다. SolarWinds는 최고의 네트워크 관리 도구를 만드는 것으로 널리 알려져 있습니다. 그들의 주력 제품인 네트워크 성능 모니터는 뛰어난 대역폭 모니터링 기능을 제공하며, 서브넷 계산기나 TFTP 서버와 같은 무료 도구도 훌륭한 평가를 받고 있습니다.

SolarWinds NetFlow 트래픽 분석기는 NetFlow 프로토콜을 사용하여 트래픽에 대한 자세한 정보를 제공합니다. 예를 들어, 특정 트래픽 유형이 얼마나 자주 발생하는지, 또는 어떤 사용자가 가장 많은 대역폭을 사용하는지 확인할 수 있습니다. 이 도구는 다양한 대시보드 보기를 제공하며, 상위 애플리케이션, 상위 프로토콜, 상위 발신자 등의 정보를 쉽게 확인할 수 있습니다. 또한, 다양한 공급업체의 NetFlow 변형을 지원합니다.

무료 평가판: SolarWinds 네트워크 트래픽 분석기

다음은 SolarWinds NetFlow 트래픽 분석기의 주요 기능 중 일부입니다.

• 애플리케이션, 프로토콜, IP 주소 그룹별 네트워크 사용량 모니터링
• Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream, IPFIX 흐름 데이터 모니터링을 통해 가장 많은 대역폭을 소비하는 애플리케이션 및 프로토콜 식별
• 트래픽 데이터를 수집, 통합하여 웹 기반 사용자 인터페이스에 표시
• Cisco NBAR2 지원으로 네트워크 트래픽 가시성 향상

SolarWinds NetFlow 트래픽 분석기는 NPM(네트워크 성능 모니터)의 추가 기능으로 사용할 수 있으며, 가격은 노드 100개당 $1,915부터 시작합니다. 구매하는 노드 수는 NPM 라이선스와 일치해야 합니다. NPM 소프트웨어가 없는 경우, 동일한 100개 노드에 대해 $2,995의 비용이 발생합니다. 구매 전, 두 제품 모두 30일 무료 평가판을 사용할 수 있습니다.

2. Paessler 라우터 트래픽 그래퍼 (PRTG)

Paessler 라우터 트래픽 그래퍼 (PRTG)는 대역폭 사용 모니터링을 주 목적으로 하는 올인원 솔루션입니다. SNMP 대역폭 모니터링과 NetFlow 수집 및 분석 기능을 통합한 것이 특징입니다. PRTG는 다양한 기술을 사용하여 시스템, 장치, 트래픽, 애플리케이션을 모니터링하며, 지원되는 프로토콜은 다음과 같습니다.

• 흐름(NetFlow, sFlow 등)
• SNMP(사전 구성 및 사용자 정의 옵션 제공)
• WMI 및 Windows 성능 카운터
• Linux/Unix 및 MacOS 시스템용 SSH
• 패킷 스니핑
• 핑, SQL 등

PRTG 설치는 매우 간단하며, Paessler는 몇 분 안에 설치를 완료할 수 있다고 주장합니다. 설치 프로그램을 실행한 후, 자동 검색 프로세스를 통해 장치를 검색하고 기본 센서를 설정합니다. 이후 NetFlow 수집기와 같은 센서를 수동으로 추가할 수 있습니다. 필요한 경우, 자세한 비디오를 통해 설치 과정을 확인할 수 있습니다.

PRTG는 Windows에서만 실행되지만, 사용자 인터페이스는 웹 기반으로 모든 플랫폼의 브라우저에서 액세스할 수 있습니다. Android 및 iOS용 모바일 앱도 제공하여 스마트폰에서 모니터링 정보를 확인할 수 있습니다. 또한, 장치에 부착할 수 있는 QR 코드 레이블을 생성하는 기능도 제공합니다. 모바일 앱으로 코드를 스캔하면 장치 센서 데이터를 빠르게 확인할 수 있습니다.

PRTG는 두 가지 버전으로 제공됩니다. 무료 버전은 100개의 센서로 제한됩니다. 모니터링되는 모든 요소는 하나의 센서로 간주됩니다. 예를 들어, 48포트 스위치의 각 포트를 모니터링하려면 48개의 센서가 필요합니다. NetFlow 수집 및 분석의 경우, 흐름 내보내기당 하나의 센서가 필요합니다. 100개 이상의 센서를 사용하려면 유료 라이선스가 필요하며, 500, 1000, 2500, 5000, 무제한 센서 옵션을 제공합니다. 유료 버전은 $1,600에서 $15,000 미만까지 다양한 가격대로 제공됩니다. 무료 버전에서는 처음 30일 동안 무제한 센서를 사용할 수 있습니다.

3. Scrutinizer

Scrutinizer는 Plixer에서 제공하는 훌륭한 NetFlow 분석기입니다. 단순한 분석기를 넘어, 많은 사용자들이 이를 본격적인 사고 대응 시스템으로 간주합니다. 또한, NetFlow, J-flow, NetStream, IPFIX 등 다양한 흐름 유형을 모니터링할 수 있어, Cisco 장비에만 국한되지 않습니다.

Scrutinizer는 계층적 설계를 특징으로 하며, 소규모 환경에서 시작하여 초당 수백만 개의 흐름까지 확장할 수 있는 효율적인 데이터 수집 기능을 제공합니다. 네트워크 문제가 발생했을 때 종종 비난을 받지만, Scrutinizer는 대부분의 네트워크 문제의 근본 원인을 빠르게 찾아낼 수 있도록 돕습니다. 이 제품은 물리적 환경과 가상 환경 모두에서 작동하며, 고급 보고 기능을 함께 제공합니다.

Scrutinizer는 무료 버전부터 초당 1000만 개 이상의 흐름을 처리할 수 있는 최상위 SCR 수준까지 4가지 라이선스 등급으로 제공됩니다. 무료 버전은 초당 1만 플로로 제한되며, 원시 흐름 데이터만 5시간 동안 보관합니다. 중간 등급은 데이터를 25시간 동안 보관하는 MDX 등급과 데이터를 영구적으로 보관하는 SSRV 등급입니다. 모든 라이선스 등급을 30일 동안 무료로 사용할 수 있으며, 이후 무료 버전으로 전환됩니다.

4. ManageEngine NetFlow 분석기

ManageEngine은 네트워크 관리 도구 분야에서 또 다른 유명한 회사입니다. SolarWinds와 마찬가지로, 이 회사는 여러 우수한 도구와 다양한 무료 도구를 제공합니다. ManageEngine NetFlow 분석기는 네트워크의 대역폭 사용량과 트래픽 패턴에 대한 자세한 정보를 제공하며, 네트워크에 대한 다양한 보기를 제공하는 웹 기반 사용자 인터페이스를 자랑합니다.

예를 들어, 애플리케이션, 대화, 프로토콜 및 기타 다양한 옵션을 기준으로 트래픽을 분석할 수 있습니다. 잠재적인 문제에 대한 경고를 설정하는 기능도 제공합니다. 예를 들어 특정 인터페이스에 트래픽 임계값을 설정하고, 트래픽이 임계값을 초과할 때마다 알림을 받을 수 있습니다.

ManageEngine NetFlow 분석기의 가장 큰 강점은 보고서와 대시보드 기능입니다. 이 제품은 문제 해결, 용량 계획, 청구와 같은 특정 목적에 맞게 조정된 여러 유용한 사전 구축 보고서를 제공합니다. 사용자 정의 보고서를 생성해야 하는 경우, 관리자는 도구를 사용하여 원하는 대로 보고서를 만들 수 있습니다.

ManageEngine NetFlow 분석기의 대시보드는 보고서만큼이나 인상적입니다. 여기에는 상위 애플리케이션, 상위 프로토콜, 상위 대화와 같은 정보를 보여주는 다양한 원형 차트가 포함되어 있습니다. 모니터링되는 인터페이스의 상태를 표시하는 히트 맵도 제공합니다. 필요한 정보만 표시하도록 대시보드를 사용자 정의할 수 있습니다. 이동이 잦은 네트워크 관리자를 위해, 대시보드 및 보고서에 액세스할 수 있는 스마트폰 앱도 제공됩니다.

ManageEngine NetFlow 분석기는 NetFlow, IPFIX, J-flow, NetStream 등 다양한 흐름 기술을 지원합니다. 또한, Cisco 장치와 완벽하게 통합되어, 도구에서 직접 트래픽 형성 및/또는 QoS 정책을 조정할 수 있습니다.

ManageEngine NetFlow 분석기는 두 가지 버전으로 제공됩니다. 무료 버전은 두 개의 인터페이스 또는 흐름 내보내기만 모니터링할 수 있습니다. 더 큰 용량을 사용하려면 라이선스를 구매해야 하며, 100개에서 2500개 인터페이스까지 다양한 크기로 제공됩니다. 가격은 연간 유지 관리 비용을 포함하여 약 $600에서 $50,000까지 다양합니다. 모든 유료 플랜은 30일 무료 평가판을 제공합니다.

5. sFlowTrend

이전의 모든 도구들이 훌륭하지만, 지금까지 sFlow 프로토콜을 지원하는 유일한 도구는 PRTG였습니다. 앞서 언급했듯이, 두 프로토콜은 상당히 다르며, 하나의 도구가 두 프로토콜을 모두 지원하는 경우는 드뭅니다. 따라서 네트워크가 주로 sFlow 지원 장비로 구성되어 있는 경우, sFlowTrend는 최고의 선택 중 하나입니다.

sFlowTrend는 sFlow 프로토콜 개발사인 inMon에서 제공하는 sFlow 모니터링 도구입니다. 기본적이고 다소 제한적이지만 매우 유능한 도구입니다. 최대 5개의 sFlow 지원 장치에서 데이터를 수집하고, 최대 1시간 동안 RAM에 기록 데이터를 보관할 수 있는 무료 버전이 있습니다. 이는 일부 네트워크 문제를 해결하는 데 충분할 수 있지만, 지속적인 모니터링에는 적합하지 않습니다. 더 완벽한 기능을 사용하려면, 장치 수 제한을 제거하고 기록 데이터를 디스크에 저장하는 프로 버전으로 업그레이드해야 합니다.

sFlowTrend 대시보드는 모니터링되는 장치와 네트워크의 현재 상태를 빠르게 보여줍니다. 잠재적인 오류가 있는 최상위 임계값 및 인터페이스를 표시합니다. sFlowTrend의 네트워크 탭에서는 네트워크 또는 장치 수준에서 요약된 성능 통계와 상세한 트래픽 정보를 확인할 수 있습니다. 경고 임계값은 평소보다 높은 대역폭 사용량이 감지되거나 네트워크 오류가 발생할 때 알림을 받는 데 사용할 수 있습니다. 또한, 소프트웨어에는 임계값 위반과 같은 문제의 원인을 분석할 수 있는 근본 원인 탭도 제공됩니다.

sFlowTrend의 호스트 탭에서는 각 장치에 대한 자세한 정보를 확인할 수 있습니다. sFlow 지원 서버의 경우, CPU, 디스크 등에 대한 성능 데이터를 표시할 수 있습니다. sFlow는 네트워크 장비 모니터링뿐 아니라 서비스 탭에서는 sFlow 데이터를 내보내는 애플리케이션의 성능 데이터도 확인할 수 있습니다. 이벤트 탭에서는 임계값 초과 또는 감지된 오류와 같은 이벤트 로그를 확인할 수 있으며, 보고서 탭에서는 미리 정의된 여러 보고서와 사용자 정의 보고서를 생성할 수 있습니다.

sFlowTrend는 Java로 개발되었으며, Java 기반 또는 웹 기반 사용자 인터페이스를 제공합니다. Windows, Mac, Linux에서 사용할 수 있으며, 도구를 구성하고 사용하는 데 도움이 되는 뛰어난 온라인 도움말 시스템을 제공합니다.

결론

선택하는 도구와 관계없이, 네트워크 트래픽 패턴 분석은 네트워크에서 일어나는 일에 대한 귀중한 통찰력을 제공합니다. 본 글에서 살펴본 모든 도구는 뛰어난 가치를 제공하며, 어떤 도구를 선택할지는 개인적인 선호도에 따라 달라질 수 있습니다. 각 도구마다 특별히 선호하는 특정 기능이 있을 수 있습니다. 무료 평가판 또는 무료 버전을 제공하는 모든 유료 도구를 활용하여, 결정을 내리기 전에 여러 도구를 사용해 보는 것을 권장합니다.