Port Mirroring n Port MirroringRAP Roving Analysis Port

Port Mirroring

포트 미러링 개념 n Port Mirroring(RAP: Roving Analysis Port) - UP Link Port 등 특정 포트(Source Port)로 송수신되는 Packet을 관리자가 지정한 포트(Destination Port)로 복사하기 위한 기능 - Source Port의 traffic monitoring, 송수신 packet 분석 및 네트워크 분석기를 이용한 네트워크 trouble shooting에 활용 2

포트 미러링 설정 n Port Mirroring Mirrored Port 1 Monitor Port Mirrored Port 2 분석 계측기 Mirrored Port 3 - monitor 포트 : 모니터링을 하는 포트 - mirrored 포트 : 모니터링 대상이 되는 포트 3

1. RS 스위치라우터 설정 n Format : RS(config)# port mirroring monitor-port <port number> target-port <port number> RS(config)# save active n Example : RS(config)# port mirroring monitor-port et. 1. 2 target-port et. 2. 2 RS(config)# port mirroring monitor-port et. 1. 1 target-port se. 3. 1 When mirroring a port on a WAN card, all ports on that card will be mirrored. n 포트미러링 해제시 RS(config)# negate 행번호(port mirroring으로 시작하는 행번호) 4

2. Alcatel OS 7700/7800 스위치 설정 n Port mirroring 포트 미러링 세션을 enable, disable하거나 삭제 [no] port mirroring {port_mirror_sessionid} {enable | disable} default disable n Port mirroring source destination 미러링할 source 포트와 데이터를 수신할 destination 포트 설정 port mirroring {port_mirror_sessionid} source slot/port destination slot/port [unblocked vlan_id] [enable | disable] 포트 미러링이 세션이 설정될 때, source(mirrored)와 destination(mirroring) 포트는 자동적으로 동일한 VLAN에 포함. n Port mirroring 설정예시 -> -> -> port mirroring 6 source 2/3 destination 6/4 unblocked 750 port mirroring 6 enable port mirroring 6 disable no port mirroring 6 show port mirroring status {port_mirror_session} 5

2. Alcatel OS 7700/7800 스위치 설정(cont. ) n Show port mirroring status {port_mirror_sessionid} -> show port mirroring status 6 +--------+-------+-------+ Session Mirrored Mirroring slot/port Vlan Status +--------+-------+-------+ 6. 1/14 1/16 5 OFF 6

3. Catalyst 2950 스위치 설정 n Step 1. Global configuration mode - Switch# config t - Switch(config)# n Step 2. Specify SPAN session and source port(monitored port) - #monitor session_number source interface-id [both |rx | tx] n Step 3. Specify SPAN session and source port(monitoring port) - #monitor session_number destination interface-id [both|rx|tx] n Step 4. Return to privileged EXEC mode. - Switch(config)# end n Step 5. Verify your entries - Switch# show monitor [session_number] n Step 6. (Optional) Save your entries in the configuration file. - Switch(config)# copy running-config startup-config 7

3. Catalyst 2950 스위치 설정(cont. ) 설정예시 Switch(config)# no monitor session 1 Switch(config)# monitor session 1 source interface gigabitethernet 0/1 Switch(config)# monitor session 1 destination interface gigabitethernet 0/2 Switch(config)# end Switch# show monitor session 1 n Session 1 ------Source Ports: RX only: None TX only: None Both: Gi 0/1 Destination Ports: Gi 0/2 8

4. 다산 V 5100 Switch 설정 n n Monitor 포트와 mirrored 포트 지정(Brige 설정모드에서 수행) set mirror add port-number set mirror monitor { port-number | cpu } 포트 미러링 활성화(Brige 설정모드에서 수행) set mirror enable n 포트 미러링 설정 내용 확인(Top/Global/Bridge 모드에서 수행) show mirror n 포트 미러링 해제(Brige 설정모드에서 수행) set mirror disable n mirrored 포트 지정 해제(Brige 설정모드에서 수행) set mirror del port-number 9

4. 다산 V 5100 Switch 설정 (cont. ) 예시) 포트 1번을 모니터 포트로 지정하고 포트 2, 3, 4 에서 오고 가는 트래픽을 확인하는 포트 미러링 예 SWITCH# configure terminal SWITCH(config)# bridge SWITCH(bridge)# set mirror monitor 1 SWITCH(bridge)# set mirror add 2 -4 SWITCH(bridge)# show mirror Mirroring enabled Monitor port = 1 Ingress-mirrored ports - - 02 03 04 - - - - - - - Egress-mirrored ports - - 03 03 04 - - - - - - - SWITCH(bridge)# 10

4. 다산 V 5100 Switch 설정 (cont. ) n 기타 - 포트 통계 초기화(Global 설정모드에서 수행) clear port statistics { port-number | all } 적용장비 (다산제품) - V 5100 Series(V 5124등) 스위치 - 6108 F 스위치 11

5. 다산 V 1008 F Switch 설정 설정단계 1) sconfig mirror {enable|disable} 포트 미러링 기능을 활성화/비활성화 2) sconfig mirror port-number {ingress|egress} {+|-} mirrored 포트를 설정하거나 삭제 3) sconfig mirror monitor {port-number|cpu} 트래픽을 모니터링 할 모니터 포트나 CPU를 지정 4) sconfig mirror show 포트 미러링 설정 내용 확인 n n 다음은 포트 1 이 mirrored 포트인 포트 2 와 3 에서 들어오는 트래픽과 포트 3 에서 나가는 트래픽을 모니터링 하는 경우. SWITCH# sconfig mirror monitor 1 SWITCH# sconfig mirror ingress 2, 3 engress 3 + SWITCH# sconfig mirror show Mirroring enabled Monitor port = 1 Ingress-mirrored ports -- 02 03 -- -- -Egress-mirrored ports -- -- 03 -- -- -12

6. HANA Rustle 324 M Switch 설정 n Rustle 324 M 스위치의 경우 Destination Port에 대해 하나의 Source Port만을 지정할 수 있으며, 13 x, 19 x port를 destination 포트로 지정 n 설정 단계 - Step 1. Advanced Management 메뉴의 Port Mirroring 항목 선택 Advanced Management |L 2 Switching Data. Base |IP Networking |Bridging |Static Filtering |Spanning Tree |SNMP |Other Protocols |Port Trunking |Port Mirroring |File Transfer Mirror To Mirror From Mode |Port 13 |Port 19 13

6. HANA Rustle 324 M Switch 설정(cont. ) - Step 2. Destination Port를 지정하고 Mirror From 항목에 Source Port를 설정 Mirror From Options |Port Mirror To Mirror From Mode Port Mirr |Port |Mirror From |Port 13 |Mirror Mode |Port 19 |Port |Port Mirroring Options |Port |Mirror From : Port 24 |Port | Mirror Mode : Receive 10 11 12 13 14 15 16 17 18 20 21 22 23 24 14

6. HANA Rustle 324 M Switch 설정(cont. ) - Step 3. Source Port를 설정하면 Mirror Mode가 Receive로 설정되는데, 필요에 따라 Receive 또는 Transmit를 선택. Mirror Mode를 Recive로 설정할 경우에는 Source Port의 수신 Packet, Transmit로 설정할 경우에는 송신 packet만을 검출해서 확인가능. Port Mirroring Options Mirror To |Port 13 |Port 19 Mirror From Mode |Mirror From : Port 24 |Mirror Mode : Receive Mode Options |Receive |Transmit - Step 4. 설정내용을 확인하고 메인 메뉴에서 저장 ※ 주의 : 이 모델의 경우 포트 미러링시 receive 또는 transmit 중 한가지만 선택. In/Out 패킷 모두 gathering 불가 15

7. HANA Rustle 3124스위치 설정 n 포트미러링을 사용하려면 software version이 s 1. 7, 10 이상 n 설정방법 config>mirror source slot port target slot port n 설정확인 sh mirror n 설정해제 config>mirror delete slot port n 설정예시 config>mirror source main 1 target main 24 16

8. 콤텍 CS 3224 스위치 설정 n n 한 개 포트를 다른 포트로 mirroring 시킵니다. Advanced Management에서 Port Mirroring 선택하여 ꎠ a) 원하는 포트를 선택하고 ꎠ. b) “Mirror From"을 선택하고 ꎠ. 포트 목록에서 mirroring될 포트를 선택하고 ꎠ. c) “Mirror mode"를 선택하고 ꎠ. Mirror 모드(송신/수신)을 선택하고 ꎠ. n Port Mirroring Setting에서 Mirror To Port는 Port 1또는 Port 13으로 고정 Mirror To Port 1은 port 2~12까지를 Mirroring. Mirror To Port 13는 Port 14~24까지를 Mirroring. 17

라우터 트래픽 모니터링(시스코) n Router CPU 사용률을 통한 모니터링 Core. Router#sh processes cpu CPU utilization for five seconds: 5%/4%; one minute: PID Runtime(ms) Invoked u. Secs 5 Sec 1 13908 5898223 2 0. 00% 2 10576636 74887391 141 0. 00% 3 20030532 3532556 5670 0. 00% 4 0 1 0 0. 00% 5 1480 2202 672 0. 00% --More— n n n 4%; five minutes: 4% 1 Min 5 Min TTY Process 0. 00% 0 Load Meter 0. 01% 0. 00% 0 OSPF Hello 0. 03% 0. 04% 0 Check heaps 0. 00% 0 Chunk Manager 0. 00% 0 Pool Manager CPU utilization 의 앞의 값(5%)은 Main CPU의 사용율이고, 뒤의 값(4%)은 cache 사용율 대부분의 경우 프로세스 스위칭보다 캐쉬를 통한 패스트 스위칭이나 고사양 라우터의 CEF(Cisco Express Forwarding)을 이용한 스위칭 수행. 만일 앞의 값이 뒤의 값보다 현저히 많다면 이는 비정상적인 현상으로 라우팅 테이블을 많이 참조해야 하는 IP Spoofing 공격이나 바이러스에 의한 DOS성 스캐닝 공격일 확률이 높으며 두 값이 동일하다면 패킷 유입이 많아 패킷 포워딩을 하는 것임. 20

라우터 트래픽 모니터링(시스코) n Router상의 netflow를 통한 패킷 모니터링 Core. Router>sh ip cache flow IP packet size distribution (2348 M total packets): 1 -32 64 96 128 160 192 224 256 288 320 352 384 416 448 480. 000. 427. 053. 018. 011. 014. 009. 007. 004. 007. 005. 006. 007. 005 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608. 004. 009. 040. 355. 000 IP Flow Switching Cache, 6205292 bytes 12 active, 61892 inactive, 156649908 added 1836043554 ager polls, 0 flow alloc failures Active flows timeout in 1 minutes Inactive flows timeout in 15 seconds last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------Flows /Sec /Flow /Pkt /Sec /Flow TCP-Telnet 934648 0. 2 15 115 3. 4 6. 6 12. 4 TCP-WWW 96479803 22. 4 9 642 215. 8 2. 3 6. 6 --Total: 156649883 36. 4 14 611 546. 7 3. 1 8. 9 Src. If Se 5/5 Src. IPaddress Dst. If 100. 46. 100. 244 Fa 1/1/0 Dst. IPaddress Pr Src. P Dst. P Pkts 211. 43. 198. 223 06 0 F 0 B 0 E 62 10. 200. 5. 201 11 0406 00 A 1 3 3 21

라우터 트래픽 모니터링(시스코) n CEF 와 Netflow를 라우터상에 enable 시키는 방법 Router(config)# ip cef -> CEF enable Router(config)# interface serial 5/5 -> 적용할 인터페이스 선택 Router(config-int)# ip route-cache flow -> NETFLOW 적용 Router#sh ip cache flow Src. If Src. IPaddress Dst. If Dst. IPaddress Pr Src. P Dst. P Pkts Se 5/5 100. 46. 100. 244 Null 192. 168. 213. 254 06 0 A 53 0087 3 Se 5/5 100. 46. 100. 244 Null 192. 168. 213. 238 06 0 A 43 0087 3 Se 5/5 100. 46. 100. 244 Null 192. 168. 213. 236 06 0 A 41 0087 3 Se 5/5 100. 46. 100. 244 Null 192. 168. 213. 253 06 0 A 52 0087 3 Se 5/4 61. 46. 100. 210 Fa 1/1/0 211. 43. 198. 223 06 0 F 0 B 0 E 62 3 n 문제가 되는 패킷들의 Next-Hop 라우팅 경로 및 비정상 패킷을 유포하는 IP 추출 22

라우터 트래픽 모니터링(하나라우터) HANA 라우터 사용자 Traffic 모니터 Step 1. config mode에서 traffic information을 활성화. Default는 disable Router(config)>> traffic enable Step 2. Traffic Information이 Active 된 시간과 Packet Length 와 사용자 IP Address에 따른 Traffic Information이 표시되는 것을 확인 Router(config)>> sh traffic Traffic Information Active (Runtime: 0(day) 0: 01: 58) = = = = = Traffic(Length) Information = = = = = Packet Length 0 ~ 127 : 0 Packets 0 Bytes 128 ~ 255 : 0 Packets 0 Bytes 256 ~ 383 : 1 Packets 250 Bytes 384 ~ 511 : 0 Packets 0 Bytes --1408 ~ 1536 : 0 Packets 0 Bytes = = = = = Traffic(Length) Information = = = = = Address 192. 168. 1. 100 : Tx 1 Packets 250 Bytes Rx 0 Packets 0 Bytes Step 3. Traffic information을 확인한 후에는 disable 상태로 운용 23