2011년 10월 31일 월요일
안랩코어 '네트워크 포렌식' 강연 요약
안녕하세요,
안랩코어에서 발표한 '개발자도 알아야 할 네트워크 포렌식' 의 사용한 명령어들에 대해서 정리해 드리기로 하였습니다. 시연때 보여드렸던 명령어와 시간이 부족하여 소개해 드리고 싶었지만 하지 못했던 내용도 몇가지 추가하여 요약해 보고자 합니다.
간단히 사용명령어 들에 대해서 나열해 드리고, 추가적인 세부 설명이 필요한건
따로 주제로 빼서 다시 언급해 드리고자 합니다. 대부분의 많은 내용들은
이미 블로그에 포스팅 되어 있으므로 자세한 것은 블로그 내용을 참고해 보시면 됩니다.
일단, 초반에 보여드렸던 안드로이드 폰에서의 패킷덤프 잘 보이지 않았죠?
이것은 다음 링크를 보시면, 안드로이드 관련한 주제로 살펴볼 수 있습니다.
http://www.packetinside.com/search/label/android
TCP Connection Tunnel using ICMP 부분은 패킷 덤프만을 잠깐 보여드렸는데,
ptunnel 이라는 프로그램을 통해서 캡쳐한 것입니다. 이것은 추후 다시 방법을
세부적으로 소개해 드릴 예정입니다.
회사에서 운영중인 '패킷센터' 에 대해서도 더 보여드리고 싶었지만, 이것은
나중에 기회가 되면 더 소개해 드릴 시간이 있겠죠? 보관중인 패킷만 해도
국내에서 최대가 아닐까요? ^^ 이런 데이터를 통해 다양한 리서치를 진행하고 있습니다.
수집된 패킷파일에서 100기가 패킷 파일을 잠깐 언급해 드렸는데, 다음 포스팅을 참고해 보세요.
100 기가 가 넘는 패킷 파일이라고 ?
다양한 도구가 나열되어 있는 페이지에서는,
많은 것을 소개해 드리고 싶었지만 여건상 와이어샤크 정도만 소개해 드렸습니다.
일단 블로그에서 검색해 보셔도 많은 도구가 이미 언급되어 있는데,
몇 가지만 보면 아래와 같습니다.
[1] IPLocation 을 이용한 위치 추적
# ruby1.8 iploc.rb -r test.pcap
IP 주소의 위치정보를 활용하여 멋진 그래프 만들기
[2] Wireshark 기능 일부 소개
GeoIP 를 이용한 위치 정보 지정은 다음 블로그를 참고하면 됩니다.
와이어샤크에서 위치정보 이용하기 - 접속국가를 쉽게 알 수 있다면...
이외 HTTP 를 통한 데이터 오브젝트를 쉽게 추출하기 위한 방법은
메뉴에서 File->Export->Objects->HTTP 를 선택하면 됩니다.
[3] Tshark 기능 소개
블로그에서는 세부적으로 많이 다루지 않은 것인데요, 조만간 따로 언급해 드리겠습니다.
다량의 패킷파일을 포렌식 한다는 측면에서 보면 Tshark 가 상당히 유용하게 이용될 수 있습니다.
커맨드 기반으로 실행될 수 있으므로, 원하는 데이터만 쉽게 추출하여
스크립트화 시키면 다량의 패킷파일을 대상으로 포렌식이 쉬워집니다. GUI 상에서 할 수 있는
대부분의 많은 것들을 커맨드 기반으로 해서 얻을 수 있다는 점이 큰 매력입니다.
몇 가지 사용예를 언급해 봅니다.
# tshark -V -r test.pcap
# tshark -r test.pcap -e ip.src -e ip.dst -Tfields -E separator=,
IP 요청 주소와 DNS 쿼리 네임을 출력하는 것입니다.
# tshark -r test.pcap -e ip.src -e dns.qry.name -E separator=";" -Tfields dns
192.168.0.240;www.google.co.kr
168.126.63.1;www.google.co.kr
.
.
패킷 파일에서 HTTP TOP URL 을 뽑아내는 것입니다.
# tshark -r test.pcap -R http.request -T fields -e http.host -e http.request.uri | sed -e 's/?.*$//' | sed -e 's#^
\(.*\)\t\(.*\)$#http://\1\2#' | sort | uniq -c | sort -rn | head
# tshark -r test.pcap -Tfields -e ip.src -e http.user_agent -R "http.user_agent"
# tshark -r test.pcap -q -z ip_hosts,tree
===================================================================
IP Addresses value rate percent
-------------------------------------------------------------------
IP Addresses 134 0.043431
192.168.0.240 134 0.043431 100.00%
168.126.63.1 16 0.005186 11.94%
72.14.213.99 55 0.017826 41.04%
74.125.127.102 7 0.002269 5.22%
72.14.213.103 32 0.010372 23.88%
72.14.213.100 24 0.007779 17.91%
===================================================================
# tshark -r test.pcap -q -z conv,tcp
[4] bittwist
패킷파일 편집 및 생성으로 아주 유용한 도구 입니다.
- bittwist : PCAP 기반의 패킷 생성기
- bittwistb : PCAP 기반의 이더넷 브릿지
- bittwiste : PCAP 파일 에디터
test.pcap 데이터를 dummy0 인터페이스로 전송시킨 것입니다.
bittwist -i dummy0 test.pcap
이것은 tcpreplay 인 다음과 같은 결과입니다.
tcpreplay -t -i dummy0 test.pcap
1) 패킷에서 1-2 까지만의 패킷을 뽑아내 저장해 보자.
# bittwiste -I test.pcap -O rigel.pcap -R 1-2
2) IP 를 변경해 보자.
# bittwiste -I test.pcap -O test2.pcap -R 1 -T ip -s 192.168.1.5,192.168.50.50
3) 포트번호 변경
# bittwiste -I test2.pcap -O test3.pcap -T udp -d 53,8080
4) 페이로드 데이터 입력
echo "ahnlab_core" | xxd
bittwiste -I test2.pcap -O test3.pcap -L 4 -X 61686e6c61625f636f7265 -T udp
tcpdump -r test3.pcap -XX
Bit-Twist 로 패킷파일의 편집과 생성까지 자유자재로..
[5] Scapy
패킷파일을 프로그래밍 하는 관점에서 아주 유용한 도구입니다.
a=rdpcap("test.pcap")
>>> a
>>> a.nsummary()
>>> a[5].show()
>>> hexdump(a[5])
>>> lsc()
>>> b=Ether()/IP(dst="192.168.1.1")/TCP()/"GET /index.html HTTP/1.0 \n\n"
>>> b
<Ether type=0x800 |<IP frag=0 proto=tcp dst=192.168.1.1 |<TCP |<Raw load='GET /index.html HTTP/1.0 \n\n' |>>>>
'Scapy' 레이블을 보시면, Scapy 의 기본적인 것을 배워볼 수 있는 세가지의 이야기가 있습니다.
http://www.packetinside.com/search/label/scapy
[6] Tcpdpriv
패킷파일을 분석 의뢰할때 민감한 정보가 포함되어 있는 경우가 있습니다. 예를들어, 사내 IP
가 해당될 수도 있겠지요.
# ./tcpdpriv -A 50 -P 99 -w test2.pcap -r test.pcap
-A 는 IP 주소 변경
-P 는 포트 번호
0 은 최대한 Private 한 것이고 99 는 정보를 보여주는
패킷파일의 민감한 정보를 지우고 전달하고자 하는 경우에는 이 방법을!
[7] 텍스트 내용을 PCAP 파일로 - text2pcap
text2pcap 을 이용하면 텍스트 내용도 PCAP 파일로 변환할 수 있습니다. 때로는
분석과정에서 유용하답니다.
-l Link 레이어 타입 지정 (기본은 이더넷이다)
-e <l3pid> -e 옵션 뒤에 이더넷 헤더를 지정할 수 있다. -e 0x806 이면 ARP 패킷을 뜻한다.
-i <proto> 프로토콜을 지정
-m 최대 패킷 길이
-u <srcport>,<destport> UDP 출발지,목적지 포트를 지정
-T <srcport>,<destport> TCP 출발지,목적지 포트를 지정
# od -Ax -tx1 tcpdpriv > in.txt
# text2pcap in.txt out.pcap
# text2pcap -T8888,9999 in.txt out.pcap
# tcpdump -r out.pcap
reading from file out.pcap, link-type EN10MB (Ethernet)
22:27:49.000000 IP 10.1.1.1.8888 > 10.2.2.2.9999: Flags [], seq 0:576, win 8192, length 576
http://www.packetinside.com/search/label/text2pcap
자, 그리고 CaseStudy 에서 언급한 것들을 한번 살펴보죠.
UDP Flooding 에서 보여준 패킷파일에서 이미지 데이터 추출은 foremost 를
이용했습니다.
-i 로 로우파일을 지정하고 -o 로 출력될 경로를 지정합니다. 주의할 점은
입력데이터가 패킷 파일이 아니라, 스크림한 데이터에서 저장옵션에 보면
RAW 형태로 저장하는 것이 있습니다. RAW 형태로 저장된 파일을 뜻합니다.
만약, 입력파일이 패킷 데이터면 Tcpxtract 를 이용해 볼 수 있습니다.
네트워크 패킷 캡쳐 파일에서 파일 추출하기 (using Tcpxtract)
악성코드 트래픽 분석에서 Slammer 는 패킷파일에서 바이너리 데이터 부분만을
떼어내어 해당 코드를 디스어셈블해서 본 것입니다.
와이어샤크에서 데이터 부분에서 오른쪽을 클릭해 보면 Export 를 할 수 있는 부분이
있습니다. 데이터를 Export 하고 objdump 를 이용해 -D 로 디스어셈블 하면 됩니다.
이것은 추후 세부적인 내용을 다시 설명드릴까 합니다.
마지막으로 Suspicious Payload Analysis 에서
마찬가지로 의심 데이터를 추출하고 Ollydbg 로 분석을 한 것입니다. 해당 데이터는
취약점을 이용한 공격코드에서 전송된 '쉘 코드' 부분만을 떼어내어
바이너리 형태로 만들고, Olly 에서 로드하여 스텝별 분석을 한 것입니다. 추출한
데이터는 아래와 같은 형태로 컴파일을 한 것입니다.
char sc[] = {
0xeb, 0x03, 0x5d, 0xeb, 0x05, 0xe8, 0xf8, 0xff
0xff, .................................. };
int main() {
int *ret;
ret = (int *)&ret + 2;
(*ret) = (int)sc;
}
이 부분 또한 궁금해 하실 부분 중에 하나이어서, Slammer 와 함께 세부적으로
다시 설명드릴 예정입니다.
발표 및 시연은 모두 리눅스 기반으로 진행되었습니다. 그래서 Ollydbg 가
리눅스에서 동작하는 걸 보고 의아해 하신 분도 있습니다. Ollydbg 는
WINE 을 통해 실행시킨 것입니다. 설치된 리눅스는 BackTrack5 입니다.
많은 것들이 이미 설치되어 있어서 시연하기에 편해
선택한 것입니다. 리눅스에서 발표에 이용한 유용한 도구도 시간이 나는대로
공유해 드릴 예정입니다.
제가 마지막 페이지에서 사용한 문구가 다음과 같습니다.
Share What you know, Learn What you don't
From PacketInside.com
큰 의미는 '정보의 공유' 입니다. 리눅스를 선택한 것도 오픈소스를 통해서
얼마나 많은 것들을 할 수 있는지 보여드리려 했던 것이고,
정보도 공개할 수 있는 수준의 범위내에서는
블로그로 많이 포스팅하여
네트워크에 관심있는 많은 분들이
참고하실 수 있도록 하려고 합니다.
마지막으로 네트워크 포렌식이 모든 문제해결의 '열쇠'가 되지는 않습니다.
하지만 큰 방향을 결정하는 중요한 '열쇠'가 되기도 합니다.
이 점을 잊지마시고요,
제가 또 언젠가 여러분들과 만날기회가 있다면
더 많은 이야기를 나눠보고 싶네요. :-)
행사에 와 주셨던 모든 분,
그리고 재미있고 알차게 들었다고 해 주신 모든 분들
감사합니다.
항상 행복하세요.
[참고]
1. 개발자도 알아야 할 네트워크 포렌식 분석 기술, '안랩코어 2011' 컨퍼런스
2011년 10월 18일 화요일
시스코 IOS 의 EPC(Embedded Packet Capture) 기능
검색하다 Ciscozine 에 소개된 IOS 12.4T 버전부터 지원되는 EPC 기능을 보았다. 이름과 같이 패킷 캡쳐 기능이 Embedded 되어 있다. 라우터 등에서 바로 데이터를 캡쳐할 수 있는 것이다. 시스코 스위치 등에서 이용되는 SPAN 기능과 달리 NVRAM 에 바로 덤프를 뜨도록 허용하는 것으로, 네트워크 장비상에서 문제가 발생했을때 디버그 용도로 유용하게 사용될 수 있을 것이다.
패킷데이터는 PCAP 포맷으로도 Export 될 수 있으며, CLI 상에서도 HEX, ASCII 로 패킷 데이터를 볼 수 있다고 한다. 살짝, 기술되어 있는 사용 예제를 보면 아래와 같다.
세부적으로 이 기능의 스펙을 살펴보지는 않았지만, 생각해 보면 대용량 라우터에서
사용하기란 어려울 것이다. 일부 초기 네트워크를 구성하는 과정에서 디버그 용도에 적합하지 않을까 생각된다. 특히나 라우터에 이런 기능은 오버헤드를 유발할 수 있다. 백본단에서는 Netflow 조차 거는 것도 쉽지 않은 상황이기 때문이다.
실제로 제가 이 기능을 접할 길이 없는데, 혹시나 이 기능을 확인해 줄 수 있는 분이 있다면 '댓글' 부탁드려요.
[참고]
1. EPC: an Embedded Packet Capture
http://www.ciscozine.com/2011/06/22/epc-an-embedded-packet-capture/
패킷데이터는 PCAP 포맷으로도 Export 될 수 있으며, CLI 상에서도 HEX, ASCII 로 패킷 데이터를 볼 수 있다고 한다. 살짝, 기술되어 있는 사용 예제를 보면 아래와 같다.
1. 캡쳐 버퍼를 정의 ( 100KB 로 지정)
Ciscozine#monitor capture buffer buffer-test size 100
2. 캡쳐 포인트를 정의 (모든 인터페이스의 양 방향으로 정의)
Ciscozine#monitor capture point ip cef capture-test all both
3. 지정한 캡쳐 포인트에 버퍼 지정
Ciscozine#monitor capture point associate capture-test buffer-test
4. 캡쳐 시작
Ciscozine#monitor capture point start capture-test
5. 캡쳐 중지
Ciscozine#monitor capture point stop capture-test
6. 캡쳐된 버퍼의 내용 확인
Ciscozine#show monitor capture buffer buffer-test dump
17:59:50.271 UTC Jun 21 2011 : IPv4 CEF Turbo : Fa1/0 None
66BC0070: CA0012C8 001C0050 J..H...P
66BC0080: 56EEFA3A 08004510 01480000 00000F11 Vnz:..E..H......
66BC0090: D7C1C0A8 28FEC0A8 28850043 00440134 WA@((~@((..C.D.4
66BC00A0: F86B0201 06000000 1DBE0000 0000C0A8 xk.......>....@(
66BC00B0: 2885C0A8 2885C0A8 28FE0000 FD (.@((.@((~..}
17:59:50.271 UTC Jun 21 2011 : IPv4 LES CEF : Fa1/0 None
66BC0070: CA0012C8 001C0050 J..H...P
66BC0080: 56EEFA3A 08004510 01480000 00000F11 Vnz:..E..H......
66BC0090: D7C1C0A8 28FEC0A8 28850043 00440134 WA@((~@((..C.D.4
66BC00A0: F86B0201 06000000 1DBE0000 0000C0A8 xk.......>....@(
66BC00B0: 2885C0A8 2885C0A8 28FE0000 FD (.@((.@((~..}
7. 캡쳐된 데이터 PCAP 포맷으로 Export
Ciscozine#$ture buffer buffer-test export tftp://192.168.40.1/ciscozine.pcap
Ciscozine#monitor capture buffer buffer-test size 100
2. 캡쳐 포인트를 정의 (모든 인터페이스의 양 방향으로 정의)
Ciscozine#monitor capture point ip cef capture-test all both
3. 지정한 캡쳐 포인트에 버퍼 지정
Ciscozine#monitor capture point associate capture-test buffer-test
4. 캡쳐 시작
Ciscozine#monitor capture point start capture-test
5. 캡쳐 중지
Ciscozine#monitor capture point stop capture-test
6. 캡쳐된 버퍼의 내용 확인
Ciscozine#show monitor capture buffer buffer-test dump
17:59:50.271 UTC Jun 21 2011 : IPv4 CEF Turbo : Fa1/0 None
66BC0070: CA0012C8 001C0050 J..H...P
66BC0080: 56EEFA3A 08004510 01480000 00000F11 Vnz:..E..H......
66BC0090: D7C1C0A8 28FEC0A8 28850043 00440134 WA@((~@((..C.D.4
66BC00A0: F86B0201 06000000 1DBE0000 0000C0A8 xk.......>....@(
66BC00B0: 2885C0A8 2885C0A8 28FE0000 FD (.@((.@((~..}
17:59:50.271 UTC Jun 21 2011 : IPv4 LES CEF : Fa1/0 None
66BC0070: CA0012C8 001C0050 J..H...P
66BC0080: 56EEFA3A 08004510 01480000 00000F11 Vnz:..E..H......
66BC0090: D7C1C0A8 28FEC0A8 28850043 00440134 WA@((~@((..C.D.4
66BC00A0: F86B0201 06000000 1DBE0000 0000C0A8 xk.......>....@(
66BC00B0: 2885C0A8 2885C0A8 28FE0000 FD (.@((.@((~..}
7. 캡쳐된 데이터 PCAP 포맷으로 Export
Ciscozine#$ture buffer buffer-test export tftp://192.168.40.1/ciscozine.pcap
세부적으로 이 기능의 스펙을 살펴보지는 않았지만, 생각해 보면 대용량 라우터에서
사용하기란 어려울 것이다. 일부 초기 네트워크를 구성하는 과정에서 디버그 용도에 적합하지 않을까 생각된다. 특히나 라우터에 이런 기능은 오버헤드를 유발할 수 있다. 백본단에서는 Netflow 조차 거는 것도 쉽지 않은 상황이기 때문이다.
실제로 제가 이 기능을 접할 길이 없는데, 혹시나 이 기능을 확인해 줄 수 있는 분이 있다면 '댓글' 부탁드려요.
[참고]
1. EPC: an Embedded Packet Capture
http://www.ciscozine.com/2011/06/22/epc-an-embedded-packet-capture/
2011년 10월 14일 금요일
개발자도 알아야 할 네트워크 포렌식 분석 기술, '안랩코어 2011' 컨퍼런스
오늘은 보안분석,인프라&관리,SW 개발기술등을 공유하는 안철수연구소의 첫 개발자 컨퍼런스인 '안랩코어 2011' 행사를 소개하고자 합니다.
2011년 10월25일 (화) 에 열리며, 장소는 양재동 EL 타워입니다. 제가 이 행사를 소개하는 것은 저도 여기서 한 꼭지를 맡고 있어서 입니다. "개발자도 알아야 할 네트워크 포렌식 분석 기술" 이라는 주제로 발표를 합니다. 사실, 제가 공식적으로 소속을 소개하는 것은 처음인것 같습니다. 지금까지는 블로그를 운영하면서 저에 대해서 거의 밝히지 않았는데, 어찌하다 보니 이렇게 되었네요.
트랙은 크게 A,B 로 보안 기술/분석 적인 것과 소프트웨어 개발쪽으로 나뉩니다. 이번에 제가 소개하는 내용은, 네트워크 관점의 포렌식이라는 의미에서 다뤄보고자 하였습니다. (사실 머 패킷분석이죠~^^) 개발자 분들도 패킷분석이라는 것에 쉽게 접근해 볼 수 있도록 패킷분석 방법론에 대해서 이야기 해 볼 것이고, 운영하고 있는 저희 패킷시스템에 대해서도 잠깐 소개해 드릴 예정입니다. 보관하고 있는 패킷 데이터가 상당합니다. 그리고, CaseStudy 를 통해서 관점별로 패킷분석 사례를 공유해 보고자 합니다. 패킷분석과 관련하여 소개하고 싶은 주제는 상당히 많은데, 제한된 시간과 주제가 있다보니 과연 어떤 내용을 여러분께 소개를 해 드려야 좋을지 고민이 많습니다.
자세한 내용은 아래 발표 프로그램과 다음 행사 홈페이지 주소를 참고하세요.
컨퍼런스 안내 페이지 : http://www.ahnlabcore.co.kr/
보안에 관심있는 분석가,개발자 여러분들의 참여를 기대해 봅니다. 다만, 유료로 열리는 컨퍼런스라는 점이 부담이 되긴 하는데요. 이건 제가 어떻게 해 드릴 방법이 없네요 ㅜㅜ
(혹시나, 패킷인사이드 통해서 많이 오신다면 얘기라도 해 볼까요? ㅎㅎ )
마지막으로, 보안 컨테스트도 열리고 있습니다. IT 보안에 관심있는 분이라면 누구나 참여할 수 있도록 구성되어 있습니다. 저희팀의 몇명이 특히 고생하고 있는 해킹대회인데, 이것도 많은 관심 가져주세요.
대회는 10월22일 (토) 에 열리며, 지금 사전 등록을 하실 수 있습니다.
대회 안내 페이지 : http://www.ahnlabcore.co.kr/contest.html
1등은 맥북에어 2등은 아이패드 등으로 상품도 푸짐합니다.
2011년 10월 12일 수요일
제3회 하이-공개SW 사용기 공모전 안내
공개SW 홍보 요청을 받아, 제3회 하이-공개SW 사용기 공모전을 소개한다. 이번 행사는 공개SW 에 대한 관심유도 및 활용 촉진을 위한 것으로서 데스크탑에서 활용가능한 공개SW 사용기를 공모한다.
다양한 분야에서 공개SW 가 사용되고 있음을 홍보하는 것이기도 하고,
우수한 공개SW 를 널리 알리고자 함이다.
네트워크 관련한 공개SW 도 너무나 좋은 것이 많은데,
이번 기회에 사용기를 한번 작성해 보는 것은 어떨까? 자세한 내용은 아래 포스터를 참고하시기 바랍니다.
2011년 10월 10일 월요일
실시간으로 트래픽 사용량 깔끔하게 표시해 주는 'pktstat'
인터페이스별 패킷 상태 정보를 실시간으로 요약해 주는 'pktstat' 를 소개한다. Curses 기반으로 실행하게 되면 실시간으로 상태 정보를 업데이트 해 주어서 통신 접속상태별로 사용되는 트래픽 사용량을 보여준다. 사용방법도 간단해서 심플하게 트래픽 사용현황을 모니터링 하기에는 적합하다. 일단 출력되는 화면을 살펴보면 아래 그림과 같다:
설치는 간단히 apt-get install pktstat 와 같이 하면 되고, 다른 리눅스 패키지에서는 그에 적합한 패키지 설치 방법을 이용하면 된다.
-B 옵션은 bps 대신 바이트 기준으로 Bps 형태로 보여준다. -i 는 인터페이스를 지정하고 -p 는 비트 카운트 대신 패킷 카운트로 보여주며(즉 PPS 기준), -T 는 전체 토탈 전송량도 표시해 준다. 그리고 필터 옵션을 사용할 수가 있는데, 특정 포트인 80 번으로 제한한다고 치면
# pktstat -i eth0 -T "port 80"
과 같이 하면 된다. 필터를 잘 사용하면 원하는 형태별로 볼 수 있으므로 네트워크 관리자 입장에서는 유용하게 사용될 수 있으리라 생각된다. 실시간으로 업데이트되는 화면에서는 다음과 같은 키를 사용할 수도 있다.
설치는 간단히 apt-get install pktstat 와 같이 하면 되고, 다른 리눅스 패키지에서는 그에 적합한 패키지 설치 방법을 이용하면 된다.
-B 옵션은 bps 대신 바이트 기준으로 Bps 형태로 보여준다. -i 는 인터페이스를 지정하고 -p 는 비트 카운트 대신 패킷 카운트로 보여주며(즉 PPS 기준), -T 는 전체 토탈 전송량도 표시해 준다. 그리고 필터 옵션을 사용할 수가 있는데, 특정 포트인 80 번으로 제한한다고 치면
# pktstat -i eth0 -T "port 80"
과 같이 하면 된다. 필터를 잘 사용하면 원하는 형태별로 볼 수 있으므로 네트워크 관리자 입장에서는 유용하게 사용될 수 있으리라 생각된다. 실시간으로 업데이트되는 화면에서는 다음과 같은 키를 사용할 수도 있다.
q quit
Ctrl-L redraw screen
t toggle the -t flag (top mode)
T toggle the -T flag (totals mode)
w allows changing of the -w flag value (wait time)
n toggle the -n flag (numeric display)
p toggle the -p flag (packets instead of bits)
b | B toggle the -B flag (bps or Bps)
f | F toggle the -F flag (full hostnames)
r reset collected statistics (min, max, etc.), flush flow
history and reset DNS/service and fragment caches
l show and sort flows by when they were last active
? toggle display of help/status text at the bottom of the
display
Ctrl-L redraw screen
t toggle the -t flag (top mode)
T toggle the -T flag (totals mode)
w allows changing of the -w flag value (wait time)
n toggle the -n flag (numeric display)
p toggle the -p flag (packets instead of bits)
b | B toggle the -B flag (bps or Bps)
f | F toggle the -F flag (full hostnames)
r reset collected statistics (min, max, etc.), flush flow
history and reset DNS/service and fragment caches
l show and sort flows by when they were last active
? toggle display of help/status text at the bottom of the
display
2011년 10월 9일 일요일
2012년에 요구되는 IT 기술은 바로 이것!
컴퓨터월드에서 앞으로 요구되는 IT 기술에 대해 조사를 하는 것이 있다. 이번 2011년에는 353 명의 IT 임원들이 투표에 참여해 주었는데, 요구되는 기술은 다음과 같다고 한다:
1. 프로그래밍, 응용프로그램 개발
2. 프로젝트 관리
3. 헬프 데스크/기술지원
모바일 운영체제에 대한 사용이 늘어나면서 이에 대한 기술지원
4. 네트워킹
패킷인사이드에서 관심있는 영역중에 하나인 네트워크 기술이다. 가상화와 클라우드 컴퓨팅 프로젝트가 증가함에 따라 이에 대한 기술을 가진 사람을 원하고 있다. 특히 VMWare 와 Citrix 에 많은 경험이 있는 사용자라면 유리
5. 비즈니스 인텔리전스
6. 데이터센터
가상화와 클라우드가 증가함에 따라 데이터센터 내에서 운영과 시스템 통합을 할 수 있는 IT 전문가
7. 웹 2.0
8. 보안
2010년 조사에 비해 32 퍼센트 감소한 수치임
9. 텔레커뮤니케이션
IP 환경으로 전환됨에 따라 VoIP 와 같은 기술 사용 증대
IT 엔지니어 분들은 참고하길 바란다 :-)
[참고]
1. Top IT skills wanted for 2012
http://www.techrepublic.com/blog/career/top-it-skills-wanted-for-2012/3503?tag=nl.e101
2. ComputerWorld
http://www.computerworld.com/
http://www.computerworld.com/s/article/358381/9_Hot_Skills_for_2012
2011년 10월 4일 화요일
한국의 LTE 요금제 적절한가? 월마트는 $30 에 무제한 4G 데이터 서비스를...
요새 한국에서도 LTE 서비스를 시작한다고, 4G 이동통신 광고가 계속 이어지고 있다. 4G 는 간단하게 보면 주파수 대역을 넓히고 안테나 수를 늘린 것이다. 그 중에 LTE 가 4G 를 이끄는 기술방식이다. 빨라지는 속도를 생각해 보면 우선 이 늘어나는 데이터량에 대해서 걱정이 든다. 패킷 관점에서만 봐도 데이터량이 늘어나면 이를 처리하려면 더 많은 투자가 필요해 진다. 통신사의 서비스 구현과 여러가지 제한을 하기 위해서라면 패킷은 그 중심에 있다.
일단 늘어나는 데이터량 때문에 4G 에서는 '무제한 요금제 폐지' 라는 이야기가 들려오고 있다. 최근 S 사에서 발표한 요금제를 보면 복잡한 구성으로 되어 있는데, 실질적으로 9,000원 추가땐 무제한 웹 서핑이 가능하다고 한다. 즉 기본 선택한 요금제에서 제공된 데이터량을 초과하더라도 웹서핑, 전자메일과 같은 일반적인 인터넷 이용에는 영향을 받지않고, 동영상 서비스등에만 제한이 된다는 것이다.
비용을 더 지불하면 부분적으로 무제한 데이터 사용이라는 것이지만, 아쉬운 부분이다. 물론 통신사 입장에서는 이제 시작하고 있는 4G 서비스에서 무제한으로 데이터를 허용하기에는 투자적인 측면에서 부담이 있을 수 있다. 빨라진 속도때문에 멀티미디어 데이터 량이 증가하면 그 만큼 데이터 사용량 폭이 상당히 커지기 때문이다. 하지만 소비자 입장에서는 통신비로 지출되는 비용이 계속 증가하다 보니 불만이 생긴다.
필자도 현재 3G 데이터를 무제한 사용중이지만 보통 실제 데이터 사용량은 1기가 선이며, 많아도 2기가를 넘지않는다. 멀티미디어와 같은 서비스를 크게 이용하지 않기 때문이다. 사용량이 적지만 계속 무제한을 이용하고 있다. 많은 비용을 지불하면서도 말이다. 제한된 용량을 체크해 가면서 쓰려니 신경쓰이고, 때로는 급할때 테더링을 통해 자유로운 인터넷 접속을 할 수 있으니 이 얼마나 편한가?
더불어 한국에서의 모바일 관련한 다양한 비즈니스가 아주 빠른 속도로 확장한 것은 이런 요금제 때문에도 기인한 것으로 생각된다. 그런 면에서 실질적인 무제한 요금제 폐지는 이런 부분에 제약이 발생할 수 있다. 지금도 적지 않은 통신비를 지출하고 있는데, 여기다 9천원 을 추가로 내야 한다면 통신비 부담은 더욱 커진다. 사실 많은 수의 사용자들이 1~2기가의 수준의 데이터를 사용한다고 생각된다. 다만, 몇몇 헤비 데이터 사용자 유저들에 의해서 망 부담이 커지는데, 이런 과다 트래픽 이용에 한해서 제한만 하는게 올바르지 않을까 생각한다. 기술적으로 차단에 한계가 있나? 그렇지도 않다. 개인적인 생각은 4G 에 대해서도 3G 와 같은 요금제를 유지하면서 지정된 기본 데이터량 초과시 속도 제한을 하는게 어떨까 생각한다.
최근 월마트와 T 모바일에서 약정없는 무제한 4G 데이터 제공 요금제를 내 놓는다고 발표하였다. 월 $30 요금으로 무제한 4G 데이터를 이용할 수 있다는 것이다. 물론, 약간의 제한은 있다. 5GB 의 데이터까지는 4G 속도로 이용할 수 있으며 그 이후로는 속도 제한이 발생한다. 음성 통화는 처음 100 분까지는 분당 10 센트로 이용하게 된다.
음성통화가 많지 않은 사용자 한테는 좋은 요금제라고 생각한다. 한국에서는 무제한 데이터 요금이 보통 5만5천 요금제 부터니 $30 제공에 4G가 무제한 이면 이 얼마나 매력적인 요금제인가. (필자의 경우는 5기가면 충분하다) 이 선불 요금제는 2,200 개가 넘는 월마트와 T 모바일 온라인 사이트 에서 구매할 수 있으며 10월 16일부터 판매 예정이라고 한다.
우리에게도 좀더 현실적이고 소비자에게 실질적으로 유용한 요금제가 나왔으면 한다.
[참고]
1. "Walmart and T-Mobile Introduce Exclusive No-Annual Contract 4G Offering" 보도자료
http://walmartstores.com/pressroom/news/10712.aspx
[LTE 로고 이미지 출처]
http://www.3gpp.org
피드 구독하기:
글 (Atom)