네트워크 모니터에 대한 질문과 대답

기술 자료 번역 기술 자료 번역
기술 자료: 294818 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

요약

이 문서에서는 네트워크 모니터에 대한 질문과 대답을 제공합니다.

추가 정보

소개

네트워크 모니터는 Microsoft Systems Management Server 및 Microsoft Windows 2000 Server와 함께 제공되는 유틸리티입니다. 네트워크 모니터(NetMon이라고도 함)를 사용하여 네트워크 트래픽 형식과 문제점을 캡처하고 관찰할 수 있습니다.

캡처 창

처음 네트워크 모니터를 시작하면 캡처 창이 표시됩니다. 캡처 창에는 다음 네 가지 프레임이 포함됩니다.

표 축소표 확대
창 이름목차
그래프현재 네트워크 작업에 대한 그래픽 표현
세션 통계현재 개별 네트워크 세션에 대한 통계
스테이션 통계네트워크 모니터를 실행하는 컴퓨터에서 보낸 세션이나 컴퓨터로 보낸 세션에 대한 통계
전체 통계캡처 프로세스 시작 후 감지된 네트워크 작업에 대한 요약 통계


프레임 뷰어 창

네트워크 모니터 추적이 캡처되면 프레임 뷰어 창을 통해 네트워크 모니터 내에서 즉시 이 추적을 보거나 나중에 분석할 수 있도록 파일에 저장할 수 있습니다. 프레임 뷰어 창의 데이터는 세 개의 프레임으로 나타나는데, 이 프레임에서 자세한 정도에 따라 다양하게 캡처된 데이터를 볼 수 있습니다.

표 축소표 확대
창 이름목차
요약프레임 도착 시간, 소스와 대상 미디어 액세스 제어 주소, 프로토콜, 요약 설명 및 다른 소스/대상 주소(예: IP 주소)를 포함하여 캡처된 데이터의 프레임을 캡처된 순서대로 나열합니다.
세부 정보각 프레임을 구문 분석하고 프로토콜 정보를 해석합니다. 프로토콜의 등록 정보 데이터를 표시하려면 세부 정보 창에서 필드를 눌러 확장합니다. 세부 정보 창에서 줄 하나를 선택하면 관련된 16진 데이터가 16진수 창에서 강조 표시됩니다.
16진수16진수 및 ASCII 형식 모두에서 선택된 프레임의 콘텐트를 표시합니다.

질문 및 대답

  1. Q. 네트워크 모니터 도구는 어디에서 가져옵니까?

    A. 두 가지 버전의 네트워크 모니터가 있습니다. 전체 버전은 Microsoft Systems Management Server(SMS)와 함께 제공됩니다. "lite" 버전은 Windows NT Server 및 Windows 2000 Server와 함께 제공되고 전체 버전에서 사용할 수 있는 기능 일부를 포함합니다.
  2. Q. 어떤 버전을 사용해야 합니까?

    A. 캡처해야 하는 트래픽의 종류에 따라 달라집니다. 네트워크 모니터의 두 버전 모두 전화 접속 네트워크 연결을 통한 브로드캐스트 및 트래픽을 포함하여 호스트 컴퓨터(NetMon을 실행하는 컴퓨터)에서 주고 받는 트래픽을 캡처할 수 있습니다. 네트워크 모니터의 전체 버전을 사용하면 호스트 컴퓨터에 주소가 할당되었는지 여부와 관계 없이 NetMon을 실행하는 컴퓨터가 있는 네트워크 세그먼트의 프레임을 캡처하고 표시할 수 있습니다.
  3. Q. 네트워크 모니터 에이전트 및 네트워크 모니터 도구와 에이전트 간의 차이점은 무엇입니까?

    A. 네트워크 모니터의 두 가지 주요한 구성 요소는 네트워크 모니터 에이전트와 사용자 인터페이스입니다. 네트워크 모니터 에이전트는 네트워크를 모니터링하고 트래픽을 "프로그램"(사용자 인터페이스)까지 전달합니다. 네트워크 모니터 에이전트는 프로그램이 별도의 컴퓨터에서 실행되는 동안 호환 컴퓨터에서 실행될 수 있습니다.

    컴퓨터에서는 해당 네트워크 세그먼트 간에 전달되는 네트워크 트래픽만 볼 수 있습니다. 그러므로 네트워크 모니터 에이전트는 문제가 발생하는 네트워크에서 실행하지만, 네트워크 모니터 사용자 인터페이스는 다른 네트워크 세그먼트의 LAN 관리자 컴퓨터 등에서 실행하는 것이 도움이 될 수 있습니다. 그러면 LAN 관리자는 문제가 발생하는 세그먼트에 없더라도 캡처를 관리하고 해당 컴퓨터에서 캡처된 데이터를 볼 수 있습니다.
  4. Q. 네트워크 모니터를 사용하면 어떤 보안 위험이 발생할 수 있습니까?

    A. 네트워크 모니터는 "스니퍼"라고도 하며 네트워크에서 문제점을 감지합니다. 프레임 레벨에서 트래픽을 분석할 수 있기 때문에 추적에서 암호화되지 않은 모든 데이터를 볼 수 있습니다. 예를 들어, Microsoft Internet Information Server(IIS)를 기본 인증으로 사용하면 암호가 일반 텍스트로 전달되어 네트워크 모니터 추적에서 읽을 수 있습니다.
  5. Q. 미디어 액세스 제어 주소 및 IP 주소 간에 차이점은 무엇입니까? 한 주소에서 다른 주소를 어떻게 구별할 수 있습니까?

    A. 미디어 액세스 제어(MAC) 주소는 네트워크 인터페이스 카드(NIC) 제조업체가 컴퓨터의 네트워크 인터페이스 카드에 "기록한" 고유의 12자리(48비트) 16진수입니다. 일부 카드에서는 소프트웨어가 이 숫자를 무시할 수 있지만 이 숫자는 카드에 기록된 채로 남아 있습니다. MAC 주소를 "하드웨어 주소" 및 "일반적으로 관리되는 주소(UAA)"라고도 합니다. MAC 주소가 무시되면 MAC 주소를 "로컬로 관리되는 주소"(LAA)라고 합니다.

    미디어 액세스 제어는 주소 정보가 들어 있는 네트워크 모델의 가장 낮은 계층입니다. LAN에서 모든 프레임은 해당 프레임의 네트워크 프로토콜에 관계 없이 MAC 주소를 포함합니다. 네트워크 모델의 가장 높은 수준에 있는 인터넷 프로토콜(IP) 주소에 대해서는 동일하지 않습니다. Novell IPX/SPX 프로토콜을 사용하는 트래픽과 같은 비 IP 트래픽에는 MAC 주소가 있지만 IP 주소는 없습니다.

    IP 주소는 TCP/IP 네트워크에서 고유해야 하는 32비트 주소입니다. IP 주소는 대개 IP 주소의 각 옥텟(8비트)을 십진수 값으로 나타내고 각 옥텟을 마침표로 구분하는(예: 172.16.255.255) 점으로 분리된 십진수 표기법으로 표시됩니다.

    네트워크 모니터에서 캡처된 데이터를 볼 때 모든 주소 형식에 대해 알기 쉬운 이름을 설정할 수 있습니다. 이렇게 하려면 프레임 뷰어 창의 요약 창에서 주소를 마우스 오른쪽 단추로 누른 다음 주소 편집을 누릅니다.
  6. Q. 네트워크 어댑터 카드가 promiscuous 모드를 지원하지 않는 경우는? promiscuous 모드란 무엇입니까?

    A. Promiscuous 모드란 네트워크 어댑터 카드가 대상 주소에 관계 없이 네트워크에서 로컬 버퍼로 전달하는 모든 프레임을 복사하는 상태입니다. 이 모드는 네트워크 모니터에서 모든 네트워크 트래픽을 캡처하고 표시하도록 합니다.

    네트워크 모니터를 사용하려면 컴퓨터에 promiscuous 모드를 지원하는 네트워크 카드가 있어야 합니다. 원격 컴퓨터에서 네트워크 모니터 에이전트를 사용할 경우 promiscuous 모드를 지원하는 네트워크 어댑터 카드는 로컬 워크스테이션에 필요한 것이 아니라 원격 컴퓨터에 필요합니다.
  7. Q. 네트워크 모니터는 추적에서 캡처된 프로토콜을 어떻게 해석합니까?

    A. 네트워크 모니터에는 원시 데이터 내에서 키 항목을 보고 해석하는 프로토콜 파서가 들어 있어 가장 일반적인 일부 프로토콜을 해석합니다. 새 표준과 구현이 발전하면 NetMon에 파서가 포함되지 않은 특정 프로토콜이 있을 것입니다. 개인이 이러한 프로토콜에 대해 파서를 작성할 수도 있고 다른 회사가 인터넷에서 찾을 수 있는 이러한 파서의 일부를 작성할 수도 있습니다. 일부 추가 파서는 Microsoft Resource Kit에 포함됩니다.
  8. Q. 왜 HTTP 작업은 볼 수 없어도 다른 프로토콜에서 내 호출은 볼 수 있습니까?

    A. 네트워크 모니터 HTTP 파서는 TCP 포트 80을 찾아 프레임을 HTTP 프레임으로 식별합니다. 웹 사이트에서 표준 포트 80(0x50)과 다른 포트를 사용하면 프레임에 HTTP 데이터가 있음을 파서가 인식하지 못합니다. 웹 사이트 등록 정보의 웹 사이트 탭에서 IIS 구성을 점검하여 TCP 포트 80이 지정되었는지 확인합니다.
  9. Q. 세 방향 핸드셰이크란 무엇입니까?

    A. 데이터를 TCP 프로토콜을 통해 전송할 수 있으려면 먼저 안정적으로 연결되어야 합니다. "세 방향 핸드셰이크"는 이러한 연결을 위해 TCP가 사용하는 프로세스입니다.

    이 프로세스는 본 문서의 컨텍스트에서 자세히 설명할 수 없습니다. 간략히 말하면 세 개의 프레임이 세 방향 핸드셰이크를 식별합니다. 첫번째 프레임에서 컴퓨터1은 TCP SYN 플래그 설정을 사용하여 프레임을 컴퓨터2에 보냅니다. 두번째 프레임에서 컴퓨터2는 SYN과 ACK 플래그 설정을 모두 사용하여 프레임을 컴퓨터1에 다시 보냅니다. 세번째 프레임에서 컴퓨터1은 ACK 플래그 설정을 사용하여 프레임을 컴퓨터2에 보냅니다. 두 컴퓨터는 TCP 연결을 설정할 때마다 이러한 세 개의 패킷을 교환합니다.
  10. Q. NetMon 추적에서 어떻게 연결이 끊깁니까?

    A. TCP 연결은 두 방향 중 한 방향에서 끝날 수 있습니다. "두 단계(graceful)" 닫기 작업은 TCP FIN 플래그를 사용하여 보낸 사람에게 더 이상 보낼 데이터가 없음을 표시합니다. TCP RST 플래그는 종료된("중단한") 세션 연결 끊기에 사용됩니다.
  11. Q. 캡처 필터와 표시 필터 간의 차이점은 무엇입니까?

    A. 캡처를 실행하기 전에 캡처 필터를 설정하여 버퍼에 저장되는 프레임을 확인할 수 있습니다. 데이터가 저장되면 표시 필터를 설정하여 특정 프레임 세트에 좀더 주의를 기울일 수 있습니다.
  12. Q. 캡처 및 표시 필터가 기본값으로 저장될 수 있습니까?

    A. 캡처 또는 표시 필터를 기본값으로 저장하려면 기존 파일에서 써야 합니다. 기본 표시 필터 파일을 Default.df라고 하고 기본 캡처 필터 파일을 Default.cf라고 합니다. 이 파일은 대개 WinNT/System32/Netmon/Captures/ 폴더에 있습니다.

    또는 네트워크 모니터에서 필요할 때 다양한 필터 파일을 저장하고 로드할 수 있습니다. 이렇게 하려면 캡처 필터 또는 표시 필터 대화 상자에서 로드를 누릅니다.
  13. Q. 캡처를 수신했습니다. 어떻게 하면 보다 읽기 쉽게 만들 수 있습니까?

    A. 프레임은 정렬할 수 없지만 요약 창의 모양은 정렬할 수 있습니다. 이렇게 하려면 열 이름을 기본 사용 순서로 끕니다. 또한 주소를 의미 있는 이름으로 바꿀 수 있습니다. 이렇게 하려면 프레임 뷰어 창의 요약 창에서 주소를 마우스 오른쪽 단추로 누른 다음 주소 편집을 누릅니다.
  14. Q. 클라이언트, 서버 또는 둘 다에서 네트워크 모니터를 실행해야 합니까? 클라이언트와 서버가 같은 컴퓨터인 경우에는 어떻습니까?

    A. 대개 클라이언트와 서버 응용 프로그램이 같은 컴퓨터에 있으면 네트워크 트래픽이 없습니다. 따라서 네트워크 모니터를 사용하여 응용 프로그램 간에 발생하는 현상을 알 수 없습니다.

    HTTP 또는 다른 텍스트 기반 프로토콜의 문제를 해결할 때 두 대의 컴퓨터가 있고 클라이언트에 예상치 못한 결과가 발생하면 서버에서 네트워크 모니터를 실행하여 서버가 올바른 데이터를 보내는지 확인합니다.

    방화벽 또는 인트라넷에 네트워크 문제가 발생하면 클라이언트와 서버 모두를 추적해야 할 수 있습니다. 이 시나리오에서 Net Time 명령을 사용하여 컴퓨터의 시스템 시간을 동기화하면 추적을 보다 효율적으로 비교할 수 있습니다.

    컴퓨터 세 대가 3계층 아키텍처로 통신하는 경우 모든 트래픽이 중간 계층의 컴퓨터를 교차하므로 이 계층에서 네트워크 모니터를 실행할 수 있습니다.
  15. Q. 사용자는 네트워크 모니터가 네트워크 트래픽을 캡처하거나 필터링하는 중 다른 응용 프로그램을 실행할 수 있습니까?

    A. 예, NetMon의 오버헤드는 최소이므로 다른 응용 프로그램은 네트워크 모니터에 의해 영향을 받지 않습니다.

참조

자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
169292 TCP/IP 추적 읽기에 대한 기본 사항
231920 Microsoft 네트워크 모니터를 사용하여 TCP 헤더 정보를 필터링하는 방법
232247 네트워크 모니터에서 원격 대행자(에이전트)를 사용하여 트래픽 캡처
172983 TCP/IP를 통한 세 방향 핸드셰이크에 대한 설명




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 294818 - 마지막 검토: 2003년 5월 5일 월요일 - 수정: 2.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Systems Management Server 2.0 Standard Edition?을(를) 다음과 함께 사용했을 때
    • Microsoft Windows 2000 Standard Edition
    • Microsoft Windows NT 4.0
키워드:?
kbinfo kbfaq KB294818

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com