2012년 6월 11일 월요일

TOE(TCP Offload Engine) 에서 패킷 캡쳐시 주의할 점


앞서 TOE(TCP offload Engine)를 소개한 글이 있다.

TOE(TCP offload engine)란 무엇인가?
윈도우에서 네트워크 드라이버 설정 정보 보기 (TOE, 점보프레임등 확인)


TOE 를 사용하면서 한가지 주의할 점이 있어 공유해 본다. 흔히, 패킷 캡쳐를 할때 실수하는 것중에 하나가 기본 snaplen 사이즈를 사용하면서 Full 패킷 캡쳐를 못하는 경우가 있다.

패킷덤프시 프로그램에 따라 캡쳐 사이즈가 달라진다.

예를 들어, 2010년 포스팅한 위 글에서 언급한 tcpdump 는 기본이 96 바이트 였다. 물론 지금은 기본값이 65535 로 커 졌지만 말이다. 이와 같이 사용하는 프로그램에 따라서 달라질 수 있다는 점과, 트래픽 덤프를 뜨는것이 중요하다면 TOE 기능을 Off 하는 것이 필요할 것이다. 즉, 패킷 덤프 하는 것이 실제 와이어 데이터가 아닐 수도 있다는 점이다. 이것은 네트워크 어뎁터에서 지원하는 오프로딩 기술때문이다. TCP ACK 패킷이나 데이터 크기가 MTU 이상인 만큼에서 트래픽 덤프가 실제와 달라질 수 있다. 이런 경우는 오프로딩 기능을 꺼 놓는 것이 필요하다.

ethtool -K ethX rx off tx off sg off tso off

일부 네트워크 모니터링 도구는 오프로드된 연결을 모니터링하지 못할 수 있으므로 이점 참고하길 바란다.
만약 패킷덤프가 실제와 달라보인다면 TOE 에 의한 가능성도 있다는 것을 생각해 보길 바란다.

댓글 없음:

댓글 쓰기