해결된 질문
작성
·
402
0
선생님 안녕하세요. 우선 선생님 덕분에 많은 네트워크 지식을 배우고 있어 감사합니다.
다름이 아닌 Out of Path 구조 수업을 듣다가 설명하신 부분이 이해가 안됩니다.
이 그림을 설명할 때 Mirroring되서 Copy된것이 Process까지 올라갈 필요가 없다면서 왼쪽 Process에는 올라가지 않는다고 설명하시고 바로 그 다음 설명에서는 오른쪽 Process에서 수집하고 분석한다고 말하셨습니다.
즉 Process까지 올라갈 필요가 없다고 말씀하시고 그 다음 설명에서 Process에서 수집한다고 말씀하시는데 이게 무슨말일까요?
그리고 이 빨간색 부분은 계층구조가 다 생략되어 있는데 혹시 특별한 이유가 있는건가요?
답변 1
1
저도 제가 한 말을 정확히 다 기억하지는 못합니다. 구체적으로 어떤 강좌 어느 위치인지 알려주시면 답변에 더 도움이 되겠습니다. 다만 제가 아는 내용으로만 답변을 드리자면 이렇습니다.
'프로세스까지 올라갈 필요가 없다'라는 경우는 여러 경우가 있을 수 있지만 가장 대표적인 경우가 무차별 모드로 패킷을 수집했을 때 입니다. 이 경우 수집된 패킷의 목적지가 호스트 자신이 아닐 수도 있기 때문입니다. 이 경우 보통 L3 IP 계층이나 L2계층에서 데이터가 버려집니다.
그러나 무차별 모드에서는 이런 정보들까지도 모두 수집하고 싶은 경우이기 때문에 센서 역할을 하는 드라이버로부터 패킷 분석기 소프트웨어(대표적으로 Wireshark)가 패킷을 가져옵니다.
이유는 프로토콜 스택이 없기 때문입니다. 그저 데이터를 가져오는 것이 목적일 뿐 프로토콜에 맞춰 어떤 처리를 수행할 목적이 아니기 때문입니다.
비슷한 구조로 파일 시스템 실시간 감시 엔진(Sensor)과 V3(수집 및 분석)같은 구조를 생각 해볼 수 있겠습니다. V3는 파일 입/출력 데이터를 그저 감시 하고 수집 할 뿐이며 이 과정에서 NTFS같은 파일 시스템이 역할 하도록 거치는 것이 아니라 빼내듯 정보만 복사합니다.
참고하시기 바랍니다.
감사합니다 선생님.
또 하나의 깨달음을 얻습니다