네트워크 패킷 모니터링(Port Mirroring)

포트 미러링(Port Mirroring)

   • 스위치에서 포트를 통과하는 패킷들을 감시 or 관찰하기 위해 다른 스위치 포트로 복사하는 방법

   • 목적: 네트워크 진단 도구, 오류 수정, 공격 차단

   • 특징

      ⸰ 패킷 복사용 Port와 패킷 송신용 Port를 지정하여 포트 미러링 설정

      ⸰ 네트워크 트래픽에 영향을 미치지 않고 데이터 분석 가능

      ⸰ IDS or IPS 같은 네트워크 보안장비에서 주로 사용

   • 일반적인 스위치 동작 방식: MAC 주소 학습 후 해당 목적지로만 데이터 전달

   • Port Mirroring 동작 방식: 지정 인터페이스를 지나는 데이터 복사 후 미러링 목적지 Port에도 데이터 전달

 

SPAN(Switch Port ANalyzer)

   • Cisco Catalyst 스위치에서 사용되는 Port Mirroring 기술

   • 모니터 세션(Monitor Session): SPAN을 위한 출발지 Port와 목적지 Port 쌍

      ⸰ 출발지 Port: 복사용 Port, 다중 설정 가능

      ⸰ 목적지 Port: 탐지 시스템과 연결된 Port, 단일 설정 필수

      ⸰ 각 스위치 별 설정 가능 모니터 세션 수: 2개

   • 모니터링 방식: Port Monitoring, VLAN Monitoring

   • 미러링 하고자 하는 트래픽의 방향 지정 가능

      ⸰ RX: 수신 트래픽만 미러링

      ⸰ TX: 송신 트래픽만 미러링

      ⸰ Both: 송수신 트래픽 모두 미러링(Default)

   • 종류

      ⸰ Local SPAN: 출발지 Port와 목적지 Port가 동일한 Switch에 있는 경우 사용

      ⸰ RSPAN(Remote SPAN): 출발지 Port와 목적지 Port가 서로 다른 Switch에 있는 경우 사용

   • SPAN 설정

      ⸰ 설정확인: show monitor session <session 번호>

      ⸰ 출발지 Port 설정: monitor session <session 번호> source interface <인터페이스 명> [트래픽 방향]

      ⸰ 목적지 Port 설정: monitor session <session 번호> destination interface <인터페이스 명>