네트워크 모니터를 사용하여 네트워크 트래픽을 캡처하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 812953 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 Microsoft 네트워크 모니터(Netmon.exe)를 사용하여 네트워크 트래픽을 캡처할 때 사용하는 여러 가지 좋은 방법을 설명합니다.

다음과 같은 특성을 가진 네트워크 추적은 캡처한 네트워크 트래픽 분석을 방해할 수 있습니다.
  • 네트워크 추적에 필요한 모든 네트워크 트래픽이 포함되어 있지 않습니다.
  • 불필요한 네트워크 트래픽이 너무 많이 포함되어 있습니다.
  • 영향을 받는 컴퓨터의 컴퓨터 이름과 주소 정보가 없습니다.

정의

이 문서에서는 다음 정의를 사용합니다.
  • 캡처(또는 추적): Microsoft 네트워크 모니터(Netmon.exe)를 사용하여 수집하고 저장한 네트워크 트래픽
  • 모니터 컴퓨터: 네트워크 모니터를 실행하는 컴퓨터
  • 대상 컴퓨터: Netmon.exe에서 네트워크 트래픽을 캡처하는 컴퓨터
  • 대상 주소: 대상 컴퓨터의 특정 프로토콜 주소

모니터 컴퓨터에서 대상 컴퓨터 트래픽을 사용할 수 있도록 설정

대상 컴퓨터에서 네트워크 모니터를 실행하지 않는 경우 대상 컴퓨터의 모든 네트워크 트래픽을 모니터 컴퓨터의 네트워크 어댑터에서 사용할 수 있어야 합니다. 이더넷 환경에서 이렇게 하려면 모니터 컴퓨터와 대상 컴퓨터를 네트워크 허브에 연결합니다. 모니터와 대상 컴퓨터가 이더넷 스위치에 연결되어 있는 경우와 같이 스위치 네트워크에 있으면 대상 컴퓨터에서 들어오고 나가는 모든 네트워크 트래픽을 모니터 컴퓨터에서 사용할 수 있는 것은 아닙니다.

참고 일반적으로 허브는 모든 네트워크 패킷을 모든 네트워크 인터페이스(또는 포트)에 제공하고 스위치는 모든 패킷을 지정된 포트에 제공합니다. 보다 복잡한 스위치에서는 네트워크 캡처와 모니터링을 위해 멀티캐스트 패킷 필터링과 고급 포트 간 브리징을 수행할 수 있는 옵션을 사용할 수 있습니다.

주소 데이터베이스

대상 컴퓨터 주소를 찾아 저장

캡처 후 주소 수집

  1. 캡처 메뉴에서 중지하고 보기 대신 중지를 누르거나 캡처 트리거가 적용 중인 경우와 같이 네트워크 캡처를 볼 수 없을 때는 캡처 메뉴에서 캡처된 데이터 표시를 누르거나 F12 키를 눌러 캡처된 데이터를 표시합니다.
  2. 표시 메뉴에서 모든 이름 찾기를 누릅니다.
  3. 캡처된 데이터에서 특정 개수의 이름을 찾았다는 내용의 메시지가 나타나면 확인을 누릅니다.
  4. 본 문서의 주소 데이터베이스 저장 절의 설명에 따라 주소 데이터베이스를 저장합니다.

주소 데이터베이스 저장

대상 컴퓨터 주소가 변경될 경우 주소 데이터베이스 파일이 부정확해질 수 있습니다. DHCP(동적 호스트 구성 프로토콜) 임대가 만료되거나 네트워크 어댑터를 교체하는 경우 이런 문제가 발생할 수 있습니다. 따라서 네트워크 모니터 캡처와 관련된 주소 데이터베이스를 저장하는 것이 좋습니다.

네트워크 모니터 메모리 내장 주소 데이터베이스를 .adr 파일에 저장하려면 다음과 같이 하십시오.
  1. 네트워크 모니터의 캡처 메뉴에서 주소를 누릅니다.

    참고 캡처: n (요약) 대화 상자가 열려 있으면 캡처 메뉴가 나타나지 않습니다.
  2. 저장을 누르고 파일 이름 상자에 파악하기 쉬운 이름을 입력한 다음 저장을 누릅니다.

캡처 전 주소 수집: 대상 컴퓨터가 네트워크에 있음

  1. 네트워크 모니터의 도구 메뉴에서 이름으로 주소 확인을 누릅니다.

    참고 이 명령은 Microsoft Systems Management Server(SMS)에 제공된 네트워크 모니터 버전에서만 사용할 수 있습니다.
  2. 이름 목록에 대상 컴퓨터의 이름을 입력한 다음 확인을 누릅니다.

    네트워크와 대상 컴퓨터 구성 및 사용 가능한 이름 확인 옵션에 따라 네트워크 모니터가 대상 컴퓨터와 관련된 이더넷, 토큰링, IP, IPX/XNS 등의 일반적인 주소를 나열할 수 있습니다.
    • 이름이 확인되었으면 주소 저장을 눌러 네트워크 모니터 메모리 내장 주소 데이터베이스에 주소를 추가합니다.
    • 이름이 확인되지 않고 "이름을 찾을 수 없음" 메시지가 나타나는 경우 본 문서의 캡처 전 주소 수집: 대상 컴퓨터가 네트워크에 없음 절에서 설명하는 대로 네트워크에 있지 않은 대상 컴퓨터에 저장해 보십시오.
  3. 닫기를 누른 다음 주소 데이터베이스를 저장합니다.

캡처 전 주소 수집: 대상 컴퓨터가 네트워크에 없음

다음 절차를 사용하려면 대상 주소를 알고 있어야 합니다. 대상 컴퓨터의 MAC(미디어 액세스 제어) 주소를 사용하는 것이 좋습니다. IP와 같은 특정 프로토콜에 대해 캡처 필터를 설정하면 네트워크 모니터에서 IPX/XNS 등의 다른 프로토콜을 무시할 수 있습니다.
  1. 캡처 메뉴에서 주소를 누른 다음 추가를 누릅니다.
  2. 이름 상자에 대상 컴퓨터 이름을 입력합니다.
  3. 주소 상자에 대상 컴퓨터의 주소를 입력합니다. 예를 들어 IP 주소 192.247.26.40을 입력합니다.
  4. 유형 목록에서 주소 상자에 사용되는 주소 유형을 누릅니다. 예를 들어 IP를 누릅니다.
  5. 확인을 눌러 네트워크 모니터 메모리 내장 주소 데이터베이스에 주소를 추가합니다.
  6. 주소 데이터베이스를 저장합니다.

캡처 필터

다음 예제는 몇 가지 일반적인 캡처 필터를 구성하는 방법을 보여 줍니다. 가능하면 대상 컴퓨터의 MAC 주소(예: 이더넷 주소)에 대해 필터를 설정하는 것이 좋습니다. IP와 같은 특정 프로토콜에 대해 캡처 필터를 설정하면 네트워크 모니터에서 IPX/XNS 등의 다른 프로토콜을 무시할 수 있습니다.

대상 컴퓨터에서 들어오고 나가는 모든 트래픽 캡처

  1. 캡처 메뉴에서 필터를 누릅니다.
  2. AND (주소 쌍) 노드를 두 번 누릅니다.
  3. 스테이션 1이름 목록에서 데이터를 수집할 대상 컴퓨터의 이름을 누릅니다.
  4. 방향에서 <-->을 누른 다음 확인을 누릅니다.

두 대상 컴퓨터 간의 모든 트래픽 캡처

  1. 캡처 메뉴에서 필터를 누릅니다.
  2. AND (주소 쌍) 노드를 두 번 누릅니다.
  3. 스테이션 1이름 목록에서 데이터를 수집할 대상 컴퓨터의 이름을 누릅니다.
  4. 방향에서 <-->을 누릅니다.
  5. 스테이션 2이름 목록에서 데이터를 수집할 다른 대상 컴퓨터의 이름을 누릅니다.
  6. 확인을 누른 다음 확인을 누릅니다.

캡처 필터 저장

네트워크 모니터 캡처 필터를 .cf 파일에 저장하려면 다음과 같이 하십시오.
  1. 캡처 메뉴에서 필터를 누릅니다.
  2. 저장을 누르고 파일 이름 상자에 파악하기 쉬운 이름을 입력한 다음 저장을 누릅니다.

캡처 버퍼

기본적으로 네트워크 모니터는 최대 1GB의 캡처를 저장할 수 있습니다. 1MB의 기본 설정을 변경하려면 네트워크 모니터 캡처 메뉴에서 버퍼 설정을 누릅니다.
  • 버퍼 크기가 충분한 네트워크 트래픽을 캡처하기에 충분한지 확인합니다. 일반적인 기준을 결정하려면 작업 클라이언트에 대해 적절한 캡처 필터를 설정한 다음 캡처 테스트를 수행하십시오. 저장된 캡처가 버퍼 설정과 크기가 같은 경우 버퍼를 더 크게 설정해야 합니다. 일반적인 규칙은 버퍼를 2의 계수로 늘리는 것입니다.
  • 모니터 컴퓨터의 가상 메모리(페이징 파일) 설정이 저장할 최대 크기를 처리할 수 있는지 확인합니다.

캡처 트리거

캡처 트리거는 일반적으로 캡처 버퍼가 오버런되는 것을 막기 어려운 상황에서 설정합니다. 아래 경우 중 하나에 해당하면 이러한 문제가 자주 발생합니다.
  • 특정 절차를 사용하여 조사 중인 문제를 확실하게 재현할 수 없습니다.
  • 모니터와 대상 컴퓨터에서 작업을 효과적으로 조정할 수 없습니다.
  • 로드가 심한 서버에서 들어오고 나가는 모든 트래픽을 캡처해야 합니다. 예를 들어 파일 잠금 위반을 진단하려면 이렇게 해야 합니다.
캡처 트리거를 디자인하려면 일반적으로 예제 패킷에서 특정 오프셋에 대한 바이트 패턴을 얻어내야 합니다. 예를 들어 SMB 'Status Code System Error'의 오프셋은 NBT(NetBIOS Transport over IP) 및 직접 호스트 SMB(TCP/UPD 포트 445)와는 다릅니다. 다음 예제는 기존 서버에 존재하지 않는 공유에 연결하려 할 때 캡처를 중지하는 캡처 트리거를 설정하는 방법을 보여 줍니다. 예제에는 캡처 필터 세부 사항이 포함되어 있지 않습니다.

예제 오류 메시지는 WIN32 오류 코드 0xC00000CC입니다. 오류 코드는 캡처에서 SMB 'Status Code System Error' 필드에 'STATUS_BAD_NETWORK_NAME'으로 나타납니다. 이 오류는 'ntstatus.h'에 정의됩니다. Microsoft Software Development Kit(SDK)에 이 정의가 포함되어 있습니다. 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/msdownload/platformsdk/sdkupdate/
자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
113996 INFO: NT 상태 오류 코드를 Win32 오류 코드에 매핑
  1. 모니터 컴퓨터
    1. 네트워크 모니터를 시작합니다.
    2. 캡처 메뉴에서 트리거를 누릅니다.
    3. 트리거 작업 대상에서 패턴 일치를 누릅니다.
    4. 패턴에서 프레임의 시작부터를 누른 다음 16진수를 누릅니다.
    5. 오프셋(16진수) 상자에 3f를 입력합니다.
    6. 패턴 상자에 cc0000c0을 입력합니다.

      참고 little-endian 바이트 패턴은 오류 DWORD 0xC00000CC와 같습니다.
    7. 트리거 동작에서 캡처 중지를 누른 다음 확인을 누릅니다.
    8. 캡처 메뉴에서 시작을 누릅니다.
  2. 대상 컴퓨터
    1. 시작을 누르고 실행을 누릅니다.
    2. 열기 상자에 \\servername\invalid-sharename을 입력합니다. 여기서 servername은 유효한 서버 이름이고 invalid-sharename은 존재하지 않는 공유 이름입니다.
    3. 확인을 누릅니다. 네트워크 이름을 찾을 수 없다는 내용의 메시지가 나타나면 확인을 누릅니다
  3. 모니터 컴퓨터
    1. 캡처가 자동으로 중지됩니다. 파일 메뉴에서 다른 이름으로 저장을 누릅니다.
    2. 파일 이름 상자에 파악하기 쉬운 캡처 이름을 입력한 다음 저장을 누릅니다.

문제 해결

  • 캡처된 네트워크 트래픽을 저장할 경우 파악하기 쉬운 이름 사용

    네트워크 모니터 캡처를 저장할 때는 파악하기 쉬운 파일 이름을 사용하는 것이 좋습니다. 예를 들어 다음과 같은 이름을 사용합니다.
    Computer1_connect_failure_05_dec_2002.adr
    캡처 파일에 시간이 포함되어 있지만 특히 파일이 수정된 경우 날짜가 분명하지 않거나 그 정확성을 확인하지 못할 수 있습니다. 분석하는 동안 캡처 파일을 수정해야 할 수 있습니다. 예를 들어 서버 패킷 또는 SMB(Server Message Block) 클라이언트 쌍은 MAC 주소에 따라 다릅니다. 서버 컴퓨터와 클라이언트 간의 라우터로 인해 MAC 주소가 모호해질 수 있습니다. 이 경우 네트워크 모니터가 DFS(분산 파일 시스템) 조회 응답에서처럼 일부 응답을 완전하게 구문 분석하지 못할 수 있습니다. 네트워크 모니터의 일부 버전에서는 캡처를 편집할 수 있으므로 라우터 MAC 주소를 대상 서버의 주소로 바꿀 수 있습니다. 이렇게 하면 SMB 파서가 지정된 패킷을 보다 읽기 쉬운 형식으로 나눌 수 있습니다.
  • 컴퓨터 간 시계 동기화

    대부분의 진단 절차에는 문제에 대한 네트워크 모니터 추적 및 이벤트 또는 구성 요소 디버깅이 있어야 합니다. 다른 로그 파일을 네트워크 모니터 추적과 상호 참조하려면 컴퓨터 간에 시계를 동기화해야 합니다.
  • IP 주소 정보 저장

    DHCP 임대 만료로 인해 클라이언트 컴퓨터에서 IP 주소가 변경될 수 있기 때문에 네트워크 모니터 캡처 동안 관련 IP 주소 정보를 기록하거나 저장해야 합니다.
  • 문제 발생 전 캡처 시작

    문제를 문서화하는 데 필요한 트래픽을 충분히 캡처하십시오. 이렇게 하려면 두 대상 컴퓨터 간에 처음 연결하기 전에 캡처를 시작한 다음 문제가 발생한 후에 중지해야 합니다. 예를 들어 SMB 프로토콜의 경우 파일 작업이 핸들에 대해 작동합니다. 파일 이름을 알려면 파일 열기(또는 만들기) 작업을 캡처해야 합니다.
  • "성공" 및 "실패" 추적 모두 캡처

    가능하면 문제가 발생하는 지점과 발생하지 않는 지점에서 추적을 캡처하십시오. 동일한 대상 컴퓨터에 대해 이러한 추적을 캡처하는 것이 좋습니다. 이렇게 할 수 없는 경우 직접 만들 수 있는 가능한 가장 유사한 구성과 네트워크 환경에서 캡처를 시도하십시오. 예를 들어 두 대상 컴퓨터가 모두 같은 서버와 통신하거나 동일한 클라이언트 컴퓨터가 비슷하게 구성된 서버와 통신해야 합니다.
  • 상당한 네트워크 트래픽을 생성하는 작업 문서화

    대상 컴퓨터에서 수행할 때 상당한 네트워크 트래픽을 생성하는 작업을 문서화하십시오. 예를 들어 IP 환경에서 사용자 활동, 프로그램 활동 또는 배치 파일 활동에 대한 캡처를 간단히 상호 참조할 수 있습니다. 이렇게 하려면 고유한 IP에 대해 작업 바로 전과 후에 한 번씩ping 명령을 수행합니다.


참조

자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
810156 네트워크 모니터를 설치한 후 "네트워크 드라이버가 없습니다." 오류 메시지가 나타난다
261327 추가 파서를 네트워크 모니터에 추가하는 방법
164961 네트워크 모니터 설치 프로그램이 이전 버전 설치를 찾지 못한다
Windows XP에 포함된 네트워크 모니터 캡처 유틸리티에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
310875 네트워크 모니터 캡처 유틸리티에 대한 설명






Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 812953 - 마지막 검토: 2005년 6월 15일 수요일 - 수정: 2.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
키워드:?
kbhowtomaster KB812953

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com