소켓에서 트래픽을 캡처하는 방법

개요

Cato Networks는 소켓 웹UI에 내장된 PCAP(패킷 캡처) 유틸리티를 제공하여 로그인 자격 증명을 가진 사람이 네트워크 문제를 진단할 수 있도록 합니다.

소켓 웹UI에 대한 자세한 내용은 소켓 웹UI 접근하기를 참조하십시오.

소켓 웹UI를 사용하여 PCAP 실행하기

이 섹션은 네트워크 문제를 분석하기 위해 소켓 PCAP 유틸리티를 사용하는 방법에 대한 단계별 설명입니다.

참고: 소켓의 LAN에 직접 연결되어 있는 경우, 소켓의 관리 IP를 사용하여 내부적으로도 웹UI에 접근할 수 있습니다.

  1. Cato 관리 애플리케이션에서 소켓 웹UI에 로그인하십시오.

  2. PCAP 시작.

  3. 문제를 재현하십시오.

  4. PCAP 파일을 다운로드하십시오.

  5. 파일에서 결과를 분석합니다.

Cato 관리 애플리케이션에서 소켓 웹UI에 로그인하기

편집자 권한을 가진 관리자는 Cato 관리 애플리케이션에서 소켓 웹UI에 자동으로 로그인할 수 있습니다.

Cato 관리 애플리케이션에서 소켓 웹UI에 로그인하려면:

  1. 네비게이션 메뉴에서 네트워크 > 사이트를 클릭하고 사이트를 선택하십시오.

  2. 네비게이션 메뉴에서 사이트 설정 > 소켓을 클릭하십시오.

  3. 소켓의 작업 메뉴에서 소켓 웹UI를 선택하십시오.

브라우저가 새로운 탭을 열고 소켓 웹UI에 로그인합니다.

image.png

소켓 웹UI는 창이 10분 이상 유휴 상태일 때 자동으로 로그아웃됩니다.

PCAP 실행 (소켓 v17.0 및 그 이상)

소켓 버전 17.0부터 소켓 웹UI의 트래픽 캡처 탭을 사용할 수 있습니다.

image.png

트래픽 캡처 탭을 사용하면 여러 활성 인터페이스/터널/SDWAN 터널에서 고급 트래픽 캡처가 가능합니다.

각 인터페이스의 관련 옵션을 선택하고 시작 버튼을 누르면 패킷 캡처를 시작할 수 있습니다. 패킷 캡처의 최대 시간 범위는 60분이며, 그렇지 않으면 캡처가 시간 초과되고 파일을 다운로드할 수 없습니다.

고급 트래픽 캡처에는 다음과 같은 옵션이 포함됩니다: 

  • 사이드 1 서브넷 및 포트 - IP 및 포트를 기준으로 필터링.

  • 사이드 2 서브넷 및 포트 - IP 및 포트를 기준으로 필터링.

    • 참고: 사이드 1과 사이드 2 모두 소스 또는 목적지일 수 있습니다. 필요에 따라 패킷 구문 규칙을 사용하여 올바른 연산자를 사용한 srcip/dstip 필드를 기반으로 소스 및 목적지 IP를 필터링하십시오. 구문에 대한 더 많은 정보를 아래에서 확인할 수 있습니다.

  • IP 프로토콜 - 특정 프로토콜 기반 패킷 필터링:

    • '*' - IP 프로토콜 필터링 없음

    • ICMP

    • TCP

    • UDP

  • MAC 주소 - MAC 주소를 기준으로 필터링.

  • 패킷 구문 규칙 

    • 구성 가능한 스마트 규칙 구문에 따라 패킷을 필터링할 수 있도록 합니다.

    • 가능한 필드 보기 이 링크는 이 규칙에 적용할 수 있는 사용 가능한 연산자가 포함된 모든 가능한 필드를 포함하는 JSON 파일을 엽니다. 

      파일은 이 기사에 첨부되어 있으며 참조용으로 다운로드할 수 있습니다.

    • 예시 보기 는 구문 규칙을 사용하는 방법에 관한 클릭 가능한 예시입니다.

    참고: 패킷 구문은 Wireshark의 캡처 필터 구문을 기반으로 하지 않습니다

  • 패킷 크기 제한 (바이트) - 기록된 패킷 크기에 제한을 설정하기 위한 필터입니다.

  • 파일 접미사 - 파일 끝에 접미사를 추가할 수 있습니다.

    • 접미사를 추가하기로 선택하면 파일 명명은 다음과 같이 구조화됩니다: {site_name}.{account_name}.{time}.{suffix}.pcapng

패킷 기록을 시작한 후, 중지, 다운로드 또는 다운로드 & 중지를 선택하여 패킷 기록을 중지할 수 있습니다.

PCAP 유틸리티는 파일을 다음 형식으로 브라우저에 구성된 다운로드 디렉토리에 저장합니다: <site_name>.<account_name>.<interface>.<timestamp>.pcapng

인터페이스 필터링

다운로드된 PCAP 파일에는 여러 인터페이스에서 기록된 트래픽이 포함됩니다. 특정 인터페이스에서 기록된 트래픽을 검색하려면:

  • PCAP 파일을 열고, 프레임 아래에서 '인터페이스 ID'를 검색합니다:

  • 인터페이스 ID를 오른쪽 클릭하여 필터로 적용 을 선택하고 선택됨을 클릭합니다

    • 참고: 각 인터페이스에는 두 개의 ID가 있으며, 하나는 TX(전송) 과 하나는 RX(수신)를 위한 것입니다. 다음 예에서 필터가 WAN1 TX 측에 적용된 것을 확인할 수 있습니다.

      image.png

  • 아래 필터를 적용하여 수동으로 필터링할 수도 있으며, X는 인터페이스의 ID를 나타냅니다. 

    frame.interface_id == X

참고: 소켓이 LAN LAG로 구성된 경우, 집계 인터페이스가 인터페이스 목록에 나타납니다.

PCAP 실행 (Socket v16.x 및 이전 버전)

PCAP를 시작하려면 특정 인터페이스에 대한 PCAP 설정을 구성합니다.

모범 사례: 대부분의 네트워크 문제를 해결하기 위해 LAN 인터페이스에서 패킷 캡처를 수행할 것을 권장합니다. 소켓이 PoP에 연결할 수 없는 경우 WAN 패킷 캡처가 유용할 수 있지만 일단 연결되면 WAN 인터페이스를 통한 모든 트래픽은 DTLS로 암호화되고 캡슐화됩니다. 암호화된 트래픽이 있는 PCAP를 분석하기는 어렵습니다.

PCAP를 시작하려면:

  1. 모니터링 페이지에서 PCAP 열을 클릭합니다. 열이 확장되어 PCAP 옵션을 표시합니다.

    image.png

  2. PCAP에 대한 설정을 입력합니다. 소스, 목적지 및 포트에 대한 특정 설정을 선택할 수 있습니다.

    image.png

    이 선택적 설정은 캡처되는 트래픽을 제한하며, 이를 사용하지 않으면 PCAP가 짧은 시간 내에 많은 데이터를 누적할 수 있습니다.

  3. 캡처를 시작하려면 PCAP 열에서 체크박스를 선택하십시오.

    pcap3.png

문제 재현

PCAP 유틸리티가 실행 중일 때, 문제 해결 중인 네트워크 문제를 재현합니다.

패킷 분석

캡처 파일을 열고 패킷을 분석하려면 Wireshark 또는 유사한 프로그램을 사용하실 것을 권장합니다. Wireshark은 Windows, Mac, 그리고 Linux에서 사용할 수 있는 무료 프로그램이며, https://www.wireshark.org/에서 다운로드할 수 있습니다

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개