사회생활을 시작하면서 만든 나의 두번째 블로그

▶ route CMD
리눅스 커널에 설정된 IP 라우팅테이블(Routing Table)을 보여준다.
<명령어위치> : /sbin/route
<옵션>
man route

route<- 라우팅 정보가 나온다.

# route add default gw 192.168.10.3 /* GW IP 추가 */
<사용예제>
# route add -net 127.0.0.0
# route add -net 192.56.76.0 netmask 255.255.255.0 dev eth0
# route add default gw mango-gw
# route add ipx4 sl0
# route add -net 192.57.66.0 netmask 255.255.255.0 gw ipx4
# route add -net 224.0.0.0 netmask 240.0.0.0 dev eth0
# route add -net 10.0.0.0 netmask 255.0.0.0 reject

▶ 리눅스시스템의 라우팅테이블 확인 및 이해
아래 두 가지 방법으로 리눅스시스템의 라우팅테이블을 확인할 수 있다.

# netstat -nr
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
172.16.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
0.0.0.0 192.168.10.2 0.0.0.0 UG 0 0 0 eth0

# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.10.0 * 255.255.255.0 U 0 0 0 eth0
172.16.0.0 * 255.255.0.0 U 0 0 0 eth1
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
default 192.168.10.2 0.0.0.0 UG 0 0 0 eth0

① 첫번째행부터 시작하여 행단위로 한 행씩 차례대로 읽어서, 처리할 패킷을 어디로 보낼것인가를 결정한다.

② default 라는 것은 시스템의 기본 게이트웨이 설정행을 의미하며, 그 행의 Gateway 항목값이 기본게이트웨이의 IP 주소이다. (default는 0.0.0.0 을 의미한다.)

③ 보낼 데이터(패킷)의 목적지 IP 주소와 Genmask 값(Subnet Mask)과의 AND 연산을 해서 그 결과가 해당행의 Destination 항목과 동일 할 경우에 해당행의 Iface 항목에 있는 인터페이스로 해당 패킷을 보낸다.

④ Iface 항목의 값이 lo 인 행(Destination 값이 127.0.0.1인 행)은 이 시스템의 루프백(loopback) 데이터를 처리하기 위한 설정이다. 즉, 자기 자신에게로 데이터를 보낼 때에 처리를 담당하는 인터페이스이다.
※ 가장 윗줄의 행부터 차례대로 패킷을 보내고 맞는다면 Iface 로 패킷을 보낸다.

[02] 리눅스 시스템의 네트워크 파일들
■ 기본 게이트웨이(Default Gateway) 설정파일
# cat /etc/sysconfig/network
NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=localhost.localdomain GATEWAY=192.168.10.X

<항목설명>
NETWORKING=yes
- 통신이 되도록 지원할 것인가의 설정(yes or no)

NETWORKING_IPV6=no
- IPv6를 사용할 것인지를 설정(yes or no)

HOSTNAME=localhost.localdomain
- 서버의 호스트네임(hostname)을 설정

GATEWAY=192.168.10.X
- 시스템전체에 대한 Global 한 기본게이트웨이 IP 주소

# cat /etc/sysconfig/network-scripts/ifcfg-eth1

# Advanced Micro Devices [AMD] 79c970 [PCnet32 LANCE]
DEVICE=eth1
BOOTPROTO=static
IPADDR=172.16.8.250
NETMASK=255.255.0.0
ONBOOT=yes
HWADDR=00:0c:29:a4:5b:92

<항목설명>
DEVICE=eth1
- 네트워크디바이스 장치명을 말한다.
리눅스에서 첫번째 NIC : eth0
리눅스에서 첫번째 NIC : eth1
리눅스에서 첫번째 NIC : eth2

BOOTPROTO=static
- 정적(static)한 고정 IP 주소 할당
동적(dhcp)로 한다면 dhcp로 설정

IPADDR=172.16.8.250
- 시스템의 IP 주소

NETMASK=255.255.0.0
- 넷마스크값(NetMask)값을 의미

ONBOOT=yes
- 부팅시 활동화하여 사용할 것인가를 설정(yes or no)

HWADDR=00:0c:29:a4:5b:92
- 현재 이더넷의 하드웨어주소를 의미

MAC 주소를 의미하는 것으로 유일한 값을 가지는 물리적인 주소값이다.

GATEWAY
- 이더넷에 대한 게이트웨이 IP 주소를 설정
eth0,eth1 등에 대한 게이트웨이 설정이 없으면 /etc/sysconfig/network 설정이 우선

BROADCAST
- 브로드캐스트 IP 주소를 설정

NETWORK
- 호스트가 속한 네트워크의 IP 주소

USERCTL
- root 사용자뿐 아니라 일반사용자들도 이 네트워크 인터페이스(eth0)를 ON/OFF 할 수 있는가의 권한설정항목이다. (yes = 모두 사용 가능 // no = root 사용자만 사용 가능)

■ DNS 설정파일
기본 DNS 설정파일이다.
# cat /etc/resolv.conf
; generated by /sbin/dhclient-script
search localdomain <= 반드시 들어가야함
nameserver 192.168.10.2
이 설정파일에는 1차 네임서버, 2차 네임서버를 적어줄수도 있다.

[04] 리눅스 네트워크 실무
(01) ifconfig CMD
네트워크 인터페이스를 설정한다.
<명령어위치> : /sbin/ifconfig

<사용형식> :
ifconfig [interface]
ifconfig interface [aftype] options | address ...

<사용예제>
# ifconfig
# ifconfig eth0
# ifconfig eth1 172.16.8.253 netmask 255.255.0.0 up
# ifconfig eth1

② eth1 네트워크카드 down & up
# ifconfig eth1 down
# ifconfig eth1

# ifconfig eth1 up
# ifconfig eth1

(02) system-config-network CMD
X 윈도우 환경에서 네트워크 설정(리눅스 시스템의 런레벨 확인 # runlevel)
# runlevel
N 5
# who -r
run-level 5 2009-11-02 15:24 last=S
# system-config-network-tui

(03) hostname CMD
리눅스시스템의 HOSTNAME 변경한다.

hostname - show or set the system’s host name
domainname - show or set the system’s NIS/YP domain name
dnsdomainname - show the system’s DNS domain name
nisdomainname - show or set system’s NIS/YP domain name
ypdomainname - show or set the system’s NIS/YP domain name

<명령어위치> : /bin/hostname

① /etc/sysconfig/network 설정내용
# cat /etc/sysconfig/network
NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=arirang
GATEWAY=192.168.10.2

<항목설명>
NETWORKING=yes
- 시스템이 네트워크를 활성화한다.(yes or no)
NETWORKING_IPV6=no
- IPv6 기반의 통신을 사용안한다.(yes or no)
HOSTNAME=arirang
- 호스트네임을 설정한다.(서버명 기입)
GATEWAY=192.168.10.2
- 이 시스템에서 Global 한 기본 게이트웨이 설정한다.

[참고] 호스트네임의 입력은 FQDN(Fully Qualified Domain Name) 형식으로도 할 수 있다.
QDN[에프큐디엔]은 시스템을 지칭하는 완전한 이름으로서, 호스트 이름과 그것의 도메인 이름으로 구성된다. 예를 들어, "www"가 호스트 이름이고, "terms.co.kr"이 도메인 이름이라면, FQDN은 "www.terms.co.kr"가 된다. FQDN은 인터넷상의 특정 호스트를 지칭하기 위한 고유한 인터넷 주소를 가져야한다. 인터넷상에 있지 않지만, 전자우편 주소를 위한 이름공간을 공유하는 일부 호스트를 위해서도, 동일한 이름 구조가 사용된다. FQDN을 가지고 있지 않은 호스트는 뱅 경로를 사용하여 지칭되어야한다.
모든 인터넷 컴퓨터들과 대부분의 UUCP 사이트들은1980년부터 작성된 막후의 많은 량의 소프트웨어 덕분에 이제 FQDN을 해석할 수 있다.

<실습>
# hostname
localhost.localdomain

# hostname www.itclass.com

# hostname
www.itclass.com
/* 이 상태에서 시스템 재부팅하면 원상태로 되돌아 간다. */

② HOSTNAME 쉘변수의 의미 및 변수값 확인 및 재설정
# echo $HOSTNAME
localhost.localdomain

# env | grep HOSTNAME
HOSTNAME=localhost.localdomain
[참고] 리눅스 시스템에서 특정 쉘변수값을 확인할 때에는 echo 명령어를 사용한다.

# export HOSTNAME="www.itclass.com"
/* export 명령어를 이용하여 특정 쉘변수의 값을 변경할 수 있다. */
/* [예제] # export HOSTNAME="변수값"

# echo $HOSTNAME
www.itclass.com

# env | grep HOSTNAME
HOSTNAME=www.itclass.com

(04) 네트워크 설정파일들 활용(IP 설정과 네트워크 재설정)
① /etc/sysconfig/network
② /etc/resolv.conf
③ /etc/sysconfig/network-scripts/ifcfg-lo
④ /etc/sysconfig/network-scripts/ifcfg-eth0
⑤ /etc/sysconfig/network-scripts/ifcfg-eth1
⑥ /etc/sysconfig/network-scripts/ifcfg-eth2
⑦ /etc/sysconfig/network-scripts/ifcfg-ethN (N=갯수)
⑧ 네트워크 콘트롤 스크립트 : /etc/rc.d/init.d/network restart | stat | stop | status
⑨ 변경된 IP 주소 확인 : ifconfig eth0
⑩ 변경된 IP 주소의 통신여부 확인 : ping www.linux.co.kr

① /etc/sysconfig/network
시스템 호스트네임 설정과 기본 게이트웨이를 설정한다.

② /etc/resolv.conf
도메인 네임 쿼리를 위한 DNS 서버를 설정한다.
# cat /etc/resolv.conf
; generated by /sbin/dhclient-script
search localdomain
nameserver 192.168.10.2

 

③ /etc/sysconfig/network-scripts/ifcfg-lo
시스템의 루프백주소에 대한 설정파일이다.
# cat /etc/sysconfig/network-scripts/ifcfg-lo
DEVICE=lo
IPADDR=127.0.0.1
NETMASK=255.0.0.0
NETWORK=127.0.0.0
# If you're having problems with gated making 127.0.0.0/8 a martian,
# you can change this to something else (255.255.255.255, for example)
BROADCAST=127.255.255.255
ONBOOT=yes
NAME=loopback

 

④ /etc/sysconfig/network-scripts/ifcfg-eth0
리눅스 시스템에서의 첫번째 물리적인 네트워크카드 설정파일이다.
# cat /etc/sysconfig/network-scripts/ifcfg-eth0
# Advanced Micro Devices [AMD] 79c970 [PCnet32 LANCE]
DEVICE=eth0
BOOTPROTO=dhcp
ONBOOT=yes
HWADDR=00:0c:29:a4:5b:88

<항목설명>
DEVICE=eth1
- 네트워크디바이스 장치명을 말한다.
리눅스에서 첫번째 NIC : eth0
리눅스에서 첫번째 NIC : eth1
리눅스에서 첫번째 NIC : eth2

BOOTPROTO=static
- 정적(static)한 고정 IP 주소 할당
동적(dhcp)로 한다면 dhcp로 설정

IPADDR=172.16.8.250
- 시스템의 IP 주소

NETMASK=255.255.0.0
- 넷마스크값(NetMask)값을 의미

ONBOOT=yes
- 부팅시 활동화하여 사용할 것인가를 설정(yes or no)

HWADDR=00:0c:29:a4:5b:92
- 현재 이더넷의 하드웨어주소를 의미
MAC 주소를 의미하는 것으로 유일한 값을 가지는 물리적인 주소값이다.

GATEWAY
- 이더넷에 대한 게이트웨이 IP 주소를 설정
eth0,eth1 등에 대한 게이트웨이 설정이 없으면 /etc/sysconfig/network 설정이 우선

BROADCAST
- 브로드캐스트 IP 주소를 설정

NETWORK
- 호스트가 속한 네트워크의 IP 주소

USERCTL
- root 사용자뿐 아니라 일반사용자들도 이 네트워크 인터페이스(eth0)를 ON/OFF 할 수 있는가의 권한설정항목이다. (yes = 모두 사용 가능 // no = root 사용자만 사용 가능)

⑧ 네트워크 콘트롤 스크립트 : /etc/rc.d/init.d/network restart | stat | stop | status
<실습>
리눅스 시스템의 모든 네트워크 인터페이스를 재시작한다.
# /etc/rc.d/init.d/network restart
인터페이스 eth0 (을)를 종료 중: [ OK ]
인터페이스 eth1 (을)를 종료 중: [ OK ]
loopback 인터페이스를 종료 중: [ OK ]
loopback 인터페이스를 활성화 중: [ OK ]
eth0 인터페이스 활성화 중:
eth0에 관한 IP 정보를 얻고 있음... 완료. [ OK ]
eth1 인터페이스 활성화 중: [ OK ]

# service network status
설정된 장치들:
lo eth0 eth1
현재 사용 중인 장치들:
lo eth0 eth1
[주의]
# ifconfig eth0 down & up /* 네트워크카드 1개만 재시작된다. */

# service network restart /* 리눅스 시스템의 모든 네트워크 카드가 재시작된다. */

(05) IP alias 기능
물리적인 하나의 랜카드에 여러개의 IP 주소 할당(IP alias 기능사용)
장점: 돈이 안든다
단점: etho이 고장나면 연결한 eth2도 고장이 난다.

용도: 네트워크 모니터링으로 사용한다.

# cd /etc/sysconfig/network-scripts/

# pwd
/etc/sysconfig/network-scripts

# ls -al ifcfg-eth*
-rw-r--r-- 3 root root 117 10월 21 13:39 ifcfg-eth0
-rw-r--r-- 3 root root 159 10월 21 13:41 ifcfg-eth1

# cp ifcfg-eth1 ifcfg-eth3

# ls -al ifcfg-eth*
-rw-r--r-- 3 root root 117 10월 21 13:39 ifcfg-eth0
-rw-r--r-- 3 root root 159 10월 21 13:41 ifcfg-eth1
-rw-r--r-- 1 root root 117 11월 2 20:28 ifcfg-eth3
※ 추가로 생성한 eth3 설정파일의 내용수정

# vi ifcfg-eth3
# Advanced Micro Devices [AMD] 79c970 [PCnet32 LANCE]
DEVICE=eth1:1 #<-: 이 가장 중요!!
BOOTPROTO=static
IPADDR=172.16.8.253
NETMASK=255.255.0.0
ONBOOT=yes
HWADDR=00:0c:29:a4:5b:92

# service network restart
인터페이스 eth0 (을)를 종료 중: [ OK ]
인터페이스 eth1 (을)를 종료 중: [ OK ]
loopback 인터페이스를 종료 중: [ OK ]
loopback 인터페이스를 활성화 중: [ OK ]
eth0 인터페이스 활성화 중:
eth0에 관한 IP 정보를 얻고 있음... 완료.
[ OK ]
eth1 인터페이스 활성화 중: [ OK ]
eth3 인터페이스 활성화 중: [ OK ]
※ 추가로 할당한 네트워크카드(eth3) IP 주소로 통신 테스트

# ping 172.16.8.253
PING 172.16.8.253 (172.16.8.253) 56(84) bytes of data.
64 bytes from 172.16.8.253: icmp_seq=1 ttl=64 time=0.036 ms
64 bytes from 172.16.8.253: icmp_seq=2 ttl=64 time=0.124 ms
(중간생략)
--- 172.16.8.253 ping statistics ---
32 packets transmitted, 32 received, 0% packet loss, time 31014ms
rtt min/avg/max/mdev = 0.032/0.113/0.908/0.214 ms
/* <Ctrl> + C 로 작업 종료 */

(06) 네트워크 인터페이스 설정과 설정확인을 위한 ifconfig 명령어
<명령어위치> : /sbin/ifconfig
<자세한 정보> : # man ifconfig
<기능과 역할>
- 시스템에 장착된 이더넷 카드의 설정확인
- 시스템에 장착된 이더넷 카드의 설정변경
- 시스템에 장착된 이더넷 카드의 활성화 또는 비활성화
- 이더넷카드의 MTU 등과 같은 옵션값들 변경
- 이더넷 카드의 네트워크 설정

# ifconfig /* 네트워크의 상황내역 확인 */
eth0 Link encap:Ethernet HWaddr 00:0C:29:A4:5B:88
inet addr:192.168.10.138 Bcast:192.168.10.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fea4:5b88/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7470 errors:0 dropped:0 overruns:0 frame:0
TX packets:4789 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:921505 (899.9 KiB) TX bytes:698706 (682.3 KiB)
Interrupt:75 Base address:0x2000

① MAC 주소 : 00:0C:29:A4:5B:88
② eth0에 할당된 주소 : 192.168.10.138
③ 브로드캐스트(BroadCast) : 192.168.10.255
④ 서브넷마스크(Subnet Mask) : 255.255.255.0
⑤ MTU(Maxium Transfer Unit) : 최대 전송단위
⑥ RX Packets : 부팅후 현재까지 받은 패킷수
⑦ TX Packets : 부팅후 현재까지 보내어진 패킷수
⑧ Collisions : 충돌된 데이타가 있는지 확인
⑨ Interrupt 주소 : 75 번을 사용
⑩ 현재 UP(사용가능) 되어 있는가?

▶ ifconfig로 특정 이더넷 MTU 값 변경
<실습>
# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:0C:29:A4:5B:88
inet addr:192.168.10.138 Bcast:192.168.10.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fea4:5b88/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7662 errors:0 dropped:0 overruns:0 frame:0
TX packets:4916 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:939050 (917.0 KiB) TX bytes:722460 (705.5 KiB)
Interrupt:75 Base address:0x2000

# ifconfig eth0 mtu 1000

# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:0C:29:A4:5B:88
inet addr:192.168.10.138 Bcast:192.168.10.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1000 Metric:1
RX packets:7708 errors:0 dropped:0 overruns:0 frame:0
TX packets:4955 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:942780 (920.6 KiB) TX bytes:727314 (710.2 KiB)
Interrupt:75 Base address:0x2000

# ifconfig eth0 mtu 2000
SIOCSIFMTU: 부적절한 인수

# ifconfig eth0 mtu 1500 /* 원상 복구 */

(07) route CMD
현재 사용주인 서버의 라우팅경로를 설정하기 위한 것으로 특정 네트워크 인터페이스에 라우팅 정보를 설정한다.

<명령어 위치> /sbin/route

① 기본 게이트웨이 설정하고 확인하기

<사용 형식> # route add default gw 게이트웨이 IP주소 dev 네트워크인터페이스장치명
# route add default gw 172.16.8.1 dev eth0
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.50.0 * 255.255.255.0 U 0 0 0 eth1
192.168.122.0 * 255.255.255.0 U 0 0 0 virbr0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
172.16.0.0 * 255.255.0.0 U 0 0 0 eth0
default 172.16.8.1 0.0.0.0 UG 0 0 0 eth0
default 192.168.50.2 0.0.0.0 UG 0 0 0 eth1
현재 서버가 외부와 통신을 할 때에는 172.16.8.1 게이트웨이로 보내진다.

[참고] 게이트웨이가 2개일 경우 위에줄부터 우선순위가 된다.
▶ 게이트웨이 설정 삭제
# route del default gw 172.16.8.1 dev eth0
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.50.0 * 255.255.255.0 U 0 0 0 eth1
192.168.122.0 * 255.255.255.0 U 0 0 0 virbr0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
172.16.0.0 * 255.255.0.0 U 0 0 0 eth0
default 192.168.50.2 0.0.0.0 UG 0 0 0 eth1

② 현재 시스템에 네트워크 라우팅경로 추가 설정
# route add -net 192.168.100.0 netmask 255.255.255.0 dev eth1
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.100.0 * 255.255.255.0 U 0 0 0 eth1
192.168.50.0 * 255.255.255.0 U 0 0 0 eth1
192.168.122.0 * 255.255.255.0 U 0 0 0 virbr0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
172.16.0.0 * 255.255.0.0 U 0 0 0 eth0
default 192.168.50.2 0.0.0.0 UG 0 0 0 eth1
192.168.100.0 네트워크와의 모든 통신 패킷(데이터)은 eth1 이라는 네트워크 인터페이스를 이용하기 위한 설정이다.

▶ 라우팅 데이블 삭제
# route del -net 192.168.100.0 netmask 255.255.255.0 dev eth1
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.50.0 * 255.255.255.0 U 0 0 0 eth1
192.168.122.0 * 255.255.255.0 U 0 0 0 virbr0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
172.16.0.0 * 255.255.0.0 U 0 0 0 eth0
default 192.168.50.2 0.0.0.0 UG 0 0 0 eth1

③ 시스템 관리자들이 실무에서 route 명령어를 이용하여 주로 하는 작업들과 작업방법
[작업] 라우팅 테이블 확인작업
<사용 형식> # route 또는 route -n
<사용예> # route

[작업] 새로운 라우팅경로 추가작업
<사용 형식> # route add -net 네트워크주소 netmask 넷마스크값 dev 인터페이스
<사용예> # route add -net 192.168.33.0 netmask 255.255.255.0 dev eth1

[작업] 기존 라우팅경로 제거작업
<사용 형식> # route del -net 네트워크주소 netmask 넷마스크값 [dev 인터페이스명]
<사용예> # route del -net 192.168.33.0 netmask 255.255.255.0

[작업] 기본 게이트웨이 추가 작업
<사용 형식> # route add default gw 기본게이트웨이주소 dev 인터페이스명
<사용예> # route add default gw 192.168.33.1 eth1

[작업] 기본 게이트웨이 제거 작업
<사용 형식> # route del default gw 기본게이트웨이주소 [dev 인터페이스명]
<사용예> # route del default gw 192.168.33.1 eth1

[작업] 루프백 인터페이스(loopback interface) 추가 작업
<사용 형식> # ifconfig lo 127.0.0.1
<사용예> # route add -net 127.0.0.1

(08) 네트워크 인터페이스의 설정확인 및 재설정 유틸리티 mii-tool
mii-tool은 리눅스 네트워크 인터페이스(NIC)의 상태를 확인하거나 설정하는 명령어이다.
- mii-tool은 랜카드에 설정된 속도(10M, 100M)를 확인
- Duplex Mode(전이중, 반이중모드)를 확인
- 자동감지설정(autonegotiation)의 ON/OFF 를 확인

<명령어 위치> /sbin/mii-tool

[주의] 현재 mii-tool은 100M급 이하에서 작동됩니다. GB급에서는 작동되지 않습니다.
# mii-tool
SIOCGMIIPHY on 'eth0' failed: Operation not supported
SIOCGMIIPHY on 'eth1' failed: Operation not supported
no MII interfaces found

[참고] 가상머신에서 이용을 할려면 VMWare-Tools를 설치해야 한다.
(주로 사용되는 옵션)
# mii-tool /* 현 시스템에 설정한 이더넷 설정상태 확인 */
# mii-tool -v /* 자세한 정보 출력 */
# mii-tool -R /* 네트워크 인터페이스의 autonegotiaton 재시작 */
# mii-tool -w /* 네트워크 인터페이스를 계속 모니터링하면서 연결 상태 확인 */

(09) 네트워크 인터페이스의 speed와 mode 설정
- 속도설정 문제에 있어서의 10M, 100M, 1G로 설정할 것인가?
- 전송모드에 있어서 half duplex 또는 full duplex로 설정할 것인가?
- 장비간 인식방식을 직업 설정할 것인가? auto 모드(negotiaton)로 할 것인가?

<명령어 위치> /sbin/ethtool
위 3가지를 익혀두면 장비간 속도저하 문제를 해결할 수 있다.

① 랜카드 속도 및 전송모드 확인
# ethtool eth0
Settings for eth0:
Current message level: 0x00000007 (7)
Link detected: yes
# ethtool eth1
Settings for eth1:
Current message level: 0x00000007 (7)
Link detected: yes
[참고] 가상머신에는 정상적으로 표현이 되지 않습니다.
<링크> http://blog.naver.com/goody80?Redirect=Log&logNo=30012554067

▶ ethtool을 이용한 eth0 설정 확인

▶ eth0의 "Duplex : half"를 "Duplex : full" 설정으로 변경
# ethtool -s eth0 speed 1000 duplex full autoneg on
<항목별 설명>
eth0 : 설정을 적용 할 NIC
speed 1000 : 1G Speed로 설정
duplex full : 전이중 모드로 설정
autoneg on : 네트워크 상태에서의 변화를 자동 감지 후 설정
(예) cable On,OFF 자동감지, Switch에서 Speed 및 Duplex 변화에 따른 자동설정
(주의) Switch 설정이 Auto일 경우 autoneg off로 고정 설정
(주의) intel NIC(e1000)을 사용하는 장비에 따라서는 적용안될수 있음

(10) 네트워크 이중화 Bonding 구성(이중화)
여러개의 NIC를 논리적으로 하나로 묶어 NIC 갯수만큼 대역폭을 가장하는 기술로 다른 말로 네트워크의 이중화라고 한다.
- 네트워크를 이중화함으로써 한쪽의 NIC 문제 발생이 서비스 이용 가능
- NIC의 대역폭을 모두 이용 가능
[참고] 이중화 네트워크 카드는 같은 종류가 더욱 안전합니다.

■ 구성 방법
[조건] Network device support 에서 --> Bonding driver support 가 체크되어 있어야 한다.

① # /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=(실제호스트이름적을것)
GATEWAY=(게이트웨이아이피)
GATEDEV=bond0 <--- 라인 추가

② 이중화 인터페이스로 사용할 가상 인터페이스 셋팅(ifcfg-bond0)
# /etc/sysconfig/network-scripts/ifcfg-bond0 <--- vi 명령어로 가상의 bonding NIC 설정
DEVICE=bond0
ONBOOT=yes
BOOTPROTO=static
IPADDR=(서버아이피)
NETMASK=(서버넷마스크)
NETWORK=(서버네트워크아이피)

③새로운 네트워크 카드(eth1)
# /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
ONBOOT=yes
USERCTL=no
MASTER=bond0
SLAVE=yes
BOOTPROTO=none
[참고] USERCTL=no
일반 계정이 해당 인터페이스를 비활성화 가능 여부

④ /etc/modprobe.conf
alias bond0 bonding
alias eth0 3c59x <-- 현재 장착되어 있는 이더넷
alias eth1 3c59x <-- 새로 장착할 두번째 이더넷
options bonding max_bonds=2 <--- 두개의 이더넷으로 이용할 경우

---------------------------------------------------------------------------------------------------------------------
[참고] /etc/modprobe.conf 내용
alias bond0 bonding : bond0를 bonding으로 알기 쉽게 별명 정의
Options bonding mode=1 : bonding 1번 모드로 설정
Options bond0 miimon=100 : NIC 상태 체크 시간(1/100 sec)

[참고] bonding 모드 종류 및 특징
0 : balance-round robine : 두개의 NIC를 통한 분배 + Fault Tolerance
1 : active-standby : Active 상태의 NIC에 문제 발생시 standby NIC에서 Fault Tolerance
2 : balance-xor : 0 모드와 비슷하지만 xor 연산을 이용한 목적지 MAC과 근원지 MAC을 이용한 분배
+ Fault Tolerance
3 : broadcast : 두개의 NIC에 어떤 규칙없이 데이터 통신 + Fault Tolerance
4 : 802.3ad : link aggregation switch에 aggregation 그룹생성이 필요
---------------------------------------------------------------------------------------------------------------------

⑤ modprobe 명령어로 bonding 적용
# modprobe bonding

⑥ lsmod 명령어로 bonding 확인
# lsmod | grep bonding

⑦ service network restart 네트워크 재시작
# service network restart

⑧ /proc/net/bonding/bond0 파일에서 구성상태 확인 및 검증
- Bonding Driver Version
- Bonding Mode
- Slave Interface 등의 정보를 확인할 수 있다.

<실습>
네트워크 카드 1개를 더 추가하여 eth1,eth2를 서로 bonding 작업해 보기 바란다.
그리고 각각 네트워크카드를 다운시켜보고 윈도우에서 ping 날려서 확인하기 바란다.

[참고] VMWare에서는 Fail Over가 제공되지 않기 때문에 두개의 카드중 먼저 패킷을 받아들이는 eth0이 죽어버리면 Network 자체가 죽어버린다.
인터넷 유저가 설정한 bonding 예제

[root@Spring Server]# cat ifcfg-bond0
DEVICE=bond0
ONBOOT=yes
BOOTPROTO=none
IPADDR=192.168.10.200
NETMASK=255.255.255.0
NETWORK=
BROADCAST=
USERCTL=no
GATEWAY=192.168.10.1

[root@Spring Server]# cat ifcfg-eth0
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=none
IPADDR=192.168.10.200
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
OLDPROTO=static

[root@Spring Server]# cat ifcfg-eth1
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=none
IPADDR=192.168.10.1
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
USERCTL=no
MASTER=bond0
SLAVE=yes
OLDPROTO=static
BONDMODE = 1
MIIMON = 100
BONDOPTIONS = mode=1 miimon=100
mode=0 (balance-rr)
mode=1 (active-backup) (* fail-over)
mode=2 (balance-xor)
mode=3 (broadcast)
mode=4 (802.3ad)
mode=5 (balance-tlb)
mode=6 (balance-alb)
# /sbin/modprobe bonding ${BONDOPTIONS}
# /sbin/service network start
# /sbin/ifenslave bond0 eth0
# /sbin/ifenslave bond0 eth1

[root@Spring Server]# lsmod
Module Size Used by
bonding 86516 0
3개의 MacAddress가 동일한지 확인 HWaddr 00:15:17:50:C1:3D

[root@Spring Server]# ifconfig
bond0 Link encap:Ethernet HWaddr 00:15:17:50:C1:3D
inet addr:192.168.10.200 Bcast:192.168.10.255 Mask:255.255.255.0
inet6 addr: fe80::215:17ff:fe50:c13d/64 Scope:Link
UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1
RX packets:1452 errors:0 dropped:0 overruns:0 frame:0
TX packets:1545 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:228641 (223.2 KiB) TX bytes:484094 (472.7 KiB)
eth0 Link encap:Ethernet HWaddr 00:15:17:50:C1:3D
UP BROADCAST RUNNING ALLMULTI SLAVE MULTICAST MTU:1500 Metric:1
RX packets:1452 errors:0 dropped:0 overruns:0 frame:0
TX packets:1547 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:228641 (223.2 KiB) TX bytes:484410 (473.0 KiB)
eth1 Link encap:Ethernet HWaddr 00:15:17:50:
UP BROADCAST SLAVE MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:371 errors:0 dropped:0 overruns:0 frame:0
TX packets:371 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:121651 (118.7 KiB) TX bytes:121651 (118.7 KiB)

[2011]_리눅스_네트워크_관리[1].pdf

라우팅 경로를 찾는 traceroute, tracepath
 
   traceroute 를 위해서는 ICMP type 11(time-execeeded) 가 필터링되어서는 안됨
 
   1) ICMP 대신 UDP를 사용하려면

   traceroute -I < trace할 서버 주소 > 또는
   tracepath < trace할 서버 주소 >
 
   2) TCP를 사용하는 traceroute 툴, lft와 tcptraceroute
 
   lft : http://www.mainnerve.com/lft/
   tcptraceroute : http://michael.toren.net/code/tcptraceroute/
 
   lft < trace할 서버 주소 >
 
   # lft -d 80 lug.or.kr (해당 사이트가 80포트가 열린 경우 이용)
 
   Tracing ___________________________.
 
   TTL  LFT trace to 211.214.161.175:80/tcp
   1   192.168.123.254 1.4ms
   ... 중략 ...
   9   211.58.252.150 23.2ms
   10   211.108.63.222 21.2ms
   11   218.38.58.22 20.6ms
   12   [target] 211.214.161.175:80 75.9ms
 
   lft에서 네트워크명, AS번호까지 표시하도록 하려면 -N옵션을 사용하면 된다.
 
   # lft -N -d 80 lug.or.kr
 
   Tracing ____________________________________________________________________
 
   LFT can't seem to round-trip.  Local packet filter in the way?
 
   TTL  LFT trace to 211.214.161.175:80/tcp
   1   [IANA-CBLK1] 192.168.123.254 13.2ms
   ... 중략 ...
   9   [APNIC-CIDR-BLK2/HANANET-DONGJAK-KR] 211.58.252.150 24.2ms
   10   [APNIC-CIDR-BLK2/WULSANSO-KR] 211.108.63.222 25.0ms
   11   [APNIC4/HANANET-IDC-NGENE-KR] 218.38.58.22 39.4ms
   **   [80/tcp failed]  Try alternate options or use -V to see packets.
 
2. 네트워크 상태확인하는 netstat
 
   자주 사용하는 옵션 (워낙 옵션을 조합해서 자주 사용하므로 정리할 필요 있음)
 
   -n : 호스트명, 포트명을 lookup하지 않고 그대로 IP, Port번호로 보여준다.
   -a : 모든 네트웍 상태(listening, non-listening)를 보여준다.
   -t : TCP 프로토콜만
   -u : UDP 프로토콜만
   -p : 해당 포트를 사용하는 프로그램과 프로세스ID(PID)를 보여줌
       (솔라리스에서는 ARP 테이블을 보여줌)
   -s : 프로토콜별(IP, ICMP, TCP, UDP 등)로 통계를 보여줌
   -c : 1초 단위로 continuous하게 보여줌 (지속적인 접속 변화를 확인해야할 때 유용)
   -r : 라우팅 테이블을 보여줌. route 명령처럼
 
   netstat -nlp         Listening(l)중인 포트/소켓을 해당 PID와 프로세스명과 함께
   netstat -tn          TCP 접속 상태
   netstat -un          UDP 접속 상태
   netstat -rn          routing 테이블
   netstat -ntp         TCP 접속 상태를 해당 PID와 프로세스명과 함께
   netstat -atnp        모든 TCP 접속상태를 해당 PID와 프로세스명과 함께
   netstat -s           통계
   netstat -c -t        TCP 접속을 continuous 하게 보여줌
 
   # netstat -atnp
   Active Internet connections (servers and established)
   Proto Recv-Q Send-Q Local Address      Foreign Address     State    PID/Program name
   tcp        0      0 0.0.0.0:515        0.0.0.0:*           LISTEN   671/lpd Waiting
   tcp        0      0 127.0.0.1:3333     0.0.0.0:*           LISTEN   738/avmilter
   tcp        0      0 0.0.0.0:3306       0.0.0.0:*           LISTEN   720/mysqld
   ... 생략 ...
 
3. fuser : 파일이나 소켓을 사용하는 프로세스 ID를 보여줌
 
   1) TCP 25(mail)포트를 사용하는 PID를 보여줌
 
   # fuser -n  tcp 25
   mail/tcp:              757
 
   2) http 포트를 사용하는 PID, USER, 명령어를 보여줌
    (-vn을 -nv 처럼 사용해서는 안됨
  
   # fuser -vn tcp http
  
                        USER        PID ACCESS COMMAND
   http/tcp             root       1652 f....  httpd
                        root       1659 f....  httpd
   ... 생략 ...
 
   3) /dev/hdb1 을 사용하는 사용자와 PID, 명령어
     (umount해야할 때 사용중이라 나올 때 유용하게 쓰임)
  
   # fuser -vm /dev/hdb1
  
                        USER        PID ACCESS COMMAND
   /dev/hdb1            truefeel   1669 f....  xmms
                        truefeel   1670 f....  xmms
 
4. 패킷 모니터링을 위한 트래픽 덤프 툴 tcpdump
  
   1) eth0 인터페이스로 오고가는 트래픽 정보를 보여줌(-i eth0 옵션없으면 eth0임)
  
   tcpdump
  
   2) 192.128.1.1 host로 오고가는 또는 제외한 트래픽
 
   tcpdump host 192.128.1.1
   tcpdump src host 192.128.1.1
   tcpdump dst host 192.128.1.1
   tcpdump not host 192.128.1.1
 
   3) 192.128.1.1과 192.128.1.2 사이를 오고가는 트래픽만
 
   tcpdump host 192.128.1.1 and 192.128.1.2
 
   4) ICMP, ARP, UDP 프로토콜만, ICMP 프로토콜 20개만
 
   tcpdump icmp -i eth0
   tcpdump arp
   tcpdump udp
   tcpdump icmp -c 20
 
   5) 웹 포트로 오고가는 패킷만
 
   tcpdump port 80
 
   6) dhcp 패킷 확인할 때
 
   # tcpdump -v -s 1500 port 67 or port 68
   tcpdump: listening on eth0
   01:17:16.803166 0.0.0.0.bootpc > 255.255.255.255.bootps:  [udp sum ok]
   xid:0x29b28363 vend-rfc1048 DHCP:REQUEST RQ:truefeel
   PR:SM+BR+TZ+DG+DN+NS+HN+YD+YS+NTP [tos 0x10]  (ttl 16, id 0, len 328)
   01:17:16.806441 192.168.1.254.bootps > 255.255.255.255.bootpc:
   ... 생략 ...'
 

[출처] [리눅스 명령어] 모니터링에 유용한 명령어|작성자 참좋은날

1. 물리적인 hardware인식 시키기
 lan card 인식 시키기 : -pcmcia lan card 인식 시키기 참조
 2. Software setting (text mode)
 2-1. 네트워크 모듈 및 옵셥, 인터페이스 alias
 /etc/modules.conf
 첫 번째 이더넷 인터페이스 설정
 /etc/sysconfig/network-scripts/ifcfg-eth0
 
2-2. hostname 설정
 /etc/HOSTNAME
 
2-3. IP address설정
 /etc/hosts
 간단한 host -> IP addr 변환정보, alias
 
2-4. Gateway 설정( 및 기본호스트에 대한 정보)
 /etc/sysconfig/network
 
2-5. DNS (Nameserver) 설정
/etc/resolv.conf
 
2-6. hosts파일과 DNS 서버 질의 요청 우선 순위 설정
 /etc/host.conf
 /etc/nsswitch.conf
 
2-7. Netmask설정
 2-8 네트워크 활성화
 #/etc/rc.d/init.d/network restart
 
3. Network Testing
 #ping 127.0.0.1 // localhost
 #ping 자신의 IP address : 자신의 network 카드는 제대로 작동
 (네트워크 카드가 슬롯에 재대로 장착되었는지
 커널에서 이더넷을 인식하는지 - module 적재)
 #ping gateway : 안되면 내부망이 잘못 되거나 gateway(HUB)에서 잘못됨
 (랜선이 이더넷 카드에 제대로 연결되어는지?
 
랜선이 올바른지- 랜선을 교체
 허브장비 점검
 다른 컴퓨터와 비교)
 
#ping 외부

4. Network에 관계된 명령어
 #netcfg : x-windows상에서 네트워크 설정하는 명령어
 #linuxconf : 리눅스 시스템을 관리하기 위한 총체적인 툴 : redhat 7.2에서 default로 깔리지 않음
 #netconfig : console에서 네트워크 설정하는 명령어
 #ifconfig : 네트워크 인터페이스를 명령어로 설정하거나 직접확인하는 명령어
 #ifconfig -a 네트워크 장치명 정보 보여줌
 #ifconfig eth1 inet 192.168.1.1 netmask 255.255.255.0 up
 ethl1 link encap:Ethernet Hwaddr 00:03:47:7A:4F:B8
 inet addr:192.168.1.1 Bcast:192.168.1.256 Mask:255.255.255.0
 #ifconfig <인터페이스 이름> inet netmask <넷마스크 값> broadcast up
#ifconfig 장치명 down
#ifconfig etho0 up
 #nslookup : 네임서버에 질의하는 네임 서버 질의 도구
 #nslookup www.protein.pe.kr [or 172.16.4.50]
 
#netstat :네트워크 연결 상태를 확인하는 명령어
 #netstat -vat
 #netstat -r
#traceroute : 특정 호스트 또는 IP까지 연결된 노드를 알아보는 명령어
 #traceroute www.kldp.org
 #route :라우칭 테이블을 확인하거나 라우팅 정보를 설정 삭제하는 명령어
 # route -n

#hostname : hostname을 화면에 출력하는 명령어
# lsmod
 #network start eth0
 #telnet
 #ftp
 
네트워크 설정파일들
 /etc/sysconfig/network 파일
 NETWORKING=yes
 HOSTNAME=linux
 GATEWAY=211.47.133.62
 /etc/sysconfig/network-scripts/ifcfg-eth0 파일
 DEVICE=eth0
 ONBOOT=yes
 BOOTPROTO=static
 IPADDR=211.47.133.34
 NETMASK=255.255.255.224
 GATEWAY=211.47.133.62
 /etc/host.conf
order hosts,bind
 
/etc/hosts
 # Do not remove the following line, or various programs
 # that require network functionality will fail.
 127.0.0.1 linux localhost.localdomain localhost
 
/etc/ resolv.conf
nameserver 211.47.133.60
 nameserver 210.117.65.1
 
/etc/ sysctl.conf
# Disables packet forwarding
 net.ipv4.ip_forward = 0
 # Enables source route verification
 net.ipv4.conf.default.rp_filter = 1
 # Disables the magic-sysrq key
 kernel.sysrq = 0
 /proc/sys/net/ipv4
 /proc/sys/net/ip_forward
0
 

네트워크 간의 Reachability를 확인하는 Tool들입니다.
Title	License	OS	내려받기
traceroute	Free	Unix	Source
IP packet의 TTL 값을 변경하여 대상 호스트로 probe 패킷을 전달하여 대상 호스트까지 가는 경로에 위치하는 gateway(Router)에서 TTL timeout error 메시지를 측정하는 프로그램이다.		Solaris 2.5	Binary Package
		Solaris 2.6	Binary Package
arpwatch	Free	Unix	Source
Arpwatch는 Ethernet address와 IP address의 쌍을 추적하며 그 활동 상황을 Syslog시키며 전자우편을 통하여 변경사항을 통보한다. 로컬 LAN의 IP 변경을 관리하여 LAN 보안을 위해 사용가능하고 IP 관리를 위해 사용할 수 있는 프로그램이다.		Redhat7.0 RPM	Binary Package
		Mandrake RPM	Binary Package
fping	Free	Unix	Source
Ping과 유사한 프로그램으로 많은 수의 호스트를 병행으로 Ping할 수 있는 프로그램이다.
ping plot	Free/share	Win95/98/NT	1.0(Free)
기본적으로 traceroute 프로그램이지만 보다 향상된 기능을 제공한다. 여러개의 hop을 동시에 측정하여 보다 빠른 결과를 보여주는 프로그램이다.			2.2(share)
prtraceroute	Free	Unix	Source
prtraceroute는 traceroute의 결과와 IRR에 등록된 정책을 비교하는 프로그램이다. 경로의 AS와 AS간 정책을 표시한다. 이것은 RIPE의 prtraceroute tool의 향상된 버전이다.
tcpnetview	Free	Win95/98/NT	V1.07
LAN상의 Windows 계열호스트 명과 IP 그리고 Ethernet address를 mapping하는 프로그램으로 LAN 관리 시 유용한 프로그램이다.
pingroute.pl	Free	Unix/Win	Source
ping 프로그램과 Traceroute 프로그램을 결합한 프로그램이다.
(Perl 프로그램이 필요로 한다.)
네트워크 간의 Performance를 확인하는 Tool들입니다.
Title	License	OS	내려받기
echoping	Free	Unix	Source
UDP/TCP의 Latency를 측정하는 프로그램으로 네트워크 응용프로그램의 성능을 측정하는 데 유용한 프로그램이다. WEB 서비스의 응답시간을 측정하는데 사용할 수 있다.
pchar	Free	Unix	Source
pchar는 pathchard 프로그램의 향상버전으로 근원지에서 목적지까지 네트워크 link내 각 노드의 성능을 산정한다. 각 hop으로 다양한 크기의 UDP 패킷들을 전송함으로써 지연과 패킷 손실과 round trip time의 정보를 제공한다.
timeit	Free	Unix	Source
Timeit은 임의의 네트워크 지점에서 지정된 web 서버의 성능을 평가할 수 있도록 만들어졌다. 이것은 Web 응용프로그래머에게 web 서버의 성능을 감시할 수 있는 수단을 제공한다.
VitalAgentIT Client PC에서 인터넷 서버까지 네트워크 상황을 감시하며 속도 및 지연 그리고 피켓 손실들을 표시하여 준다. 전체적인 네트워크 현황에 대하여 alarm 기능을 제공하여 조치사항을 권고하여 주는 유용한 프로그램이다.	Free	Win95/98/NT	V7.0
Title	License	OS	내려받기
cflowdCisco Netflow data를 이용하여 인터넷 트래픽 현황을 보여주는 프로그램이다. 해당 프로그램을 구동하기 위해서는 arts++ 프로그램이 필요하다.	Free	Unix	Source
			Arts++
flow toolscflowd와 마찬가지로 Cisco Netflow data를 이용하여 트래픽 현황을 파악하는 간단한 프로그램들의 집합이다.	Free	Unix	Source
IPTrafIPTraf 는 Linux를 위한 console 기반의 네트워크 통계 프로그램이다. IPTraf는 TCP 연결 패킷과 바이트 수, 인터페이스 통계치, TCP/UDP 트래픽 분석등 다양한 정보를 제공한다.	Free	Linux	Source
spyLinux기반의 프로토콜 ANALYZER	Free	Linux	Source
(free license checksum: 8627234452)
10 호스트의 작은 규모에서 2000년 12월 까지 사용할 수 있다)
etherealUnix와 Windows를 위한 자유롭게 이용가능한 네트워크 network protocol analyzer 이다. 실제 네트워크 또는 수집된 파일로부터 데이터를 조사할 수 있다.	Free	Unix	Source
(Unix에서는 gtk+ , libpcap Library가 필요)		Redhat RPM	Binary Package
		Mandrake RPM	Binary Package
		Solaris 8	Binary Package
		Win95/98/NT	Binary Package
			packet Capture DLL
			Glib DLL
Windows PC에서 인터넷 서비스 데몬을 올릴 수 있는 프로그램들입니다.
Title	License	OS	내려받기
SolarWinds-TFTP-Server	Free	Win95/98/NT	Binary Package
네트워크 장비의 Image를 upgrade하기 위해 사용할 때 필요한 PC용 TFTP 데몬프로그램이다.
tftpd32	Free	Win95/98/NT	Binary Package
네트워크 장비의 Image를 upgrade하기 위해 사용할 때 필요한 PC용 TFTP 데몬프로그램이다.
License 제약없이 자유롭게 이용가능한 각종 인터넷 client 프로그램들과 네트워크 관리를 위한 지원 프로그램들입니다.
Title	License	OS	내려받기
Netlab	Free	Win95/98/NT	Binary Package
DNS Lookup, ping, tracroute와 같은 모든 client 프로그램을 내장하고 있는 다용도의 tool 집합 프로그램이다.
PMG Toolkit	Free	Win95/98/NT	Binary Package
Ethernet OID 및 Novell의 SAP code와 같은 네트워크 기본정보를 제공하여 주는 toolkit.
(Password : dialed)
PMG Toolkit 2.4(password : pmg97)	Free	Win95/98/NT	Binary Package
Cable Length Calculator
Canonical Converter
Latency Calculator?New Features
A Ping Calibrate feature was added to help determine the values for the routers.
Link Speed
IP Subnet Visualizer
OUI Lookup
IPX SAP Lookup
Ethernet Packets per Second
Etherchannel Calculator
Bit Budget Calculator
Hex to Decimal Converter
Subnet Calculator?New Features
Several new fields have been added
Multicast Calculator
SolarWinds-Subnet-CalculatorIP address의 Subnet mask에 따른 host 갯수를 확인할 수 있는 프로그램이다. 복잡한 subnet 계산을 쉽게 해준다.	Free	Win95/98/NT	Binary Package
TeraTerm	Free	Win95/98/NT	Binary Package
Telnet client 프로그램으로 화면의 글자를 복사하고 붙여 넣기가 쉬운 프로그램이다.
TeraTerm SSH client	Free	Win95/98/NT	Binary Package
TeraTerm의 SSH client 프로그램으로 기본적으로 TeraTerm 이 설치되어야 한다. 인터넷상에서 secure하게 SSH 서버에 접속할 수 있게 하는 프로그램이다.
qcheck_console1.3	Free	Win95/98/NT	Binary Package
Ganymede 사의 성능 측정 tool로서 각 서버에 endpoint라는 프로그램을 설치하여야 하며 그 다음 console 프로그램을 이용하여 application 네트워크 성능을 측정한다.
qcheck_endpoint	Free	Win95/98/NT	Binary Package
Windows PC용 Ganymede endpoint 프로그램이다.

 

nslookup 명령어 사용법

 

시작 -> cmd

 

?default 서버 설정

 

 

C:\Users\rukawa>nslookup
기본 서버: kns.kornet.net
Address: 168.126.63.1

>

> server 192.168.0.1
기본 서버: [192.168.0.1]
Address: 192.168.0.1
 

 

?MX 레코드 확인

 

 

> set type=mx
> naver.com
서버: [192.168.0.1]
Address: 192.168.0.1

권한 없는 응답:
naver.com MX preference = 10, mail exchanger = mx2.naver.com
naver.com MX preference = 10, mail exchanger = mx3.naver.com
naver.com MX preference = 10, mail exchanger = mx-1.naver.com

naver.com nameserver = ns2.naver.com
naver.com nameserver = ns1.naver.com
naver.com nameserver = ns3.naver.com
mx2.naver.com internet address = 202.131.27.96
mx3.naver.com internet address = 202.131.27.102
mx-1.naver.com internet address = 202.131.27.117
ns1.naver.com internet address = 119.205.240.165
ns2.naver.com internet address = 61.247.202.123
ns3.naver.com internet address = 175.158.30.90
 

 

 

 

?spf 레코드 확인

 

> set type=txt
> naver.com
서버: [192.168.0.1]
Address: 192.168.0.1
권한 없는 응답:
naver.com text =

 "v=spf1 include:_spfblocka.naver.com include:_spfblockb.naver.com includ
e:_spfblockc.naver.com ~all"

naver.com nameserver = ns3.naver.com
naver.com nameserver = ns2.naver.com
naver.com nameserver = ns1.naver.com
ns1.naver.com internet address = 119.205.240.165
ns2.naver.com internet address = 61.247.202.123
ns3.naver.com internet address = 175.158.30.90
>
 

 

 

 

 

?default 네임서버 설정

 

 

 C:\Users\rukawa>nslookup naver.com 168.126.63.1
서버: kns.kornet.net
Address: 168.126.63.1

권한 없는 응답:
이름: naver.com
Addresses: 222.122.195.6
 202.131.29.70
 202.131.29.71
 222.122.195.5

 

 

 

 

 

?MX 레코드 확인

 

 

C:\Users\rukawa>nslookup -querytype=mx naver.com
서버: kns.kornet.net
Address: 168.126.63.1

권한 없는 응답:
naver.com MX preference = 10, mail exchanger = mx3.naver.com
naver.com MX preference = 10, mail exchanger = mx-1.naver.com
naver.com MX preference = 10, mail exchanger = mx2.naver.com

naver.com nameserver = ns3.naver.com
naver.com nameserver = ns2.naver.com
naver.com nameserver = ns1.naver.com
mx2.naver.com internet address = 202.131.27.96
mx3.naver.com internet address = 202.131.27.102
mx-1.naver.com internet address = 202.131.27.117
ns1.naver.com internet address = 119.205.240.165
ns2.naver.com internet address = 61.247.202.123
ns3.naver.com internet address = 175.158.30.90
 

 

?SPF 레코드확인

 

 

C:\Users\rukawa>nslookup -querytype=txt naver.com
서버: kns.kornet.net
Address: 168.126.63.1

권한 없는 응답:
naver.com text =

 "v=spf1 include:_spfblocka.naver.com include:_spfblockb.naver.com includ
e:_spfblockc.naver.com ~all"

naver.com nameserver = ns3.naver.com
naver.com nameserver = ns1.naver.com
naver.com nameserver = ns2.naver.com
ns1.naver.com internet address = 119.205.240.165
ns2.naver.com internet address = 61.247.202.123
ns3.naver.com internet address = 175.158.30.90
 

 

 

[출처] nslookup 명령어 사용법|작성자 루카와

 

http://blog.rukawa.co.kr/10090055946

⊙ NSLOOKUP 유틸을 이용한 점검

 

1. 사용방법    a.Interactive(대화형) -  대화형식으로 nslookup 을 입력하고 엔터를 치면

                                                        " > " 표시로 나타난다.

                                                       c:\> nslookup
                                                        > www.empas.com  // 엠파스의 IP를 질의한다.
                      b. Non Interactive(비화대형)  - nslookup 한칸띄고 질의할 주소를 적는다.

                                                                    c:\> nslookup www.empas.com

 2. 원하는 레코드 타입별로 확인

   a SOA 레코드 확인  
      c:\> nslookup
         > set type=soa
         > mcp.com / mcp.com 도메인의 SOA 레코드 요청
   b. Mail Server 레코드 확인
     c:\> nslookup
         > set type=mx
         > net.com / net.com 도메인의 MX 레코드 요청
   c. 도메인에 대한 모든 레코드 요청
     c:\> nslookup
         > set type=all
         > mcp.com / mcp.com 도메인의 모든 레코드 요청

 

⊙ DNS Server Local Cache

 

1. 한번 쿼리를 해서 알아낸 특정 사이트의 정보는 특정시간(TTL)동안 DNS Server의 로컬 캐쉬에

    저장된다.
2. nslookup 질의를 통해서 알아낸 주소에 대해 다시 nslookup 질의를 보내면 같은 정보를 보여주고
   " Non-authoritative answer : " 이란 메시지도 같이 보여주는데 이 뜻은 로컬 캐쉬에 있는 정보

   이므로 신뢰할 수 없는 응답이라는 표기를 하고 있다.
3. 간혹 실제 주소가 변경 되었는데 로컬 캐쉬에서 변경전 정보를 가지고 있어 문제를 발생할 수 있다.
     그 이유는 TTL 이 만료되기 전까지는 Interactive Query가 아닌 로컬 캐쉬의 정보를 찾아서

    클라이언트에게 응답하기 때문이다.
4. 만약 질의에 대한 정보를 가져오지 못한다면 DNS Server를 점검해야 한다.

    c:\> nslookup www.empas.com / 로컬 DNS 에 질의
   *** net.com can't find www.empas.com : No response from server

   c:\> nslookup www.empas.com 164.124.101.31
    / empas 도메인에 대한 정보 요청을 로컬 dns가 아닌 164.124.101.31 dns 에 질의 결과값을

     정상적으로 가져 왔다면 로컬 DNS를 점검한다.
    c:\> nslookup
      > server 210.121.199.77

     / 아예 default DNS server를 수정해서 앞으로 query를 자신의 dns server 로 설정된 서버가

       아닌 210.121.199.77 인 DNS서버 에게 요청을 하겠다는 뜻
   c:\> nslookup ls mcp.com
     / mcp.com의 모든 레코드 요청, 이명령은 호스트 이름이 기억나지 않을 때 등에 사용

 

⊙ DNS Client Local Cache 삭제 및 정보 확인

 

W2K는 클라이언트도 Resolution 해온 dns 레코드를 로컬 캐쉬에 저장하는데 간혹 이것때문에

문제를 일으킬 수도 있다. 로컬캐쉬 정보를 지우려면 c:\> ipconfig/flushdns 를 입력한다.
로컬캐쉬의 저장된 DNS 정보를 보려면 c:\>ipconfig/displaydns 를 입력한다

Port는 접속 포트이고..
LocalAddress는 사용자의 IP주소이고..
Foreign Address는 상대 IP주소이고..
State는 현재 상태입니다.
State가 Lisen?이면 포트가 열려가 누군가가 접속하기를 기다리는 중입니다.
만약 님이 웹서핑을 하게 된다면 그 주소까지도 나오게 됩니다.
모든 정보가 누군가가 해킹을 하려고 접속시도를 하는건 아니지요.. ^^;
해킹을 막을려면 방화벽을 설치하는걸 권해 드립니다.
해킹 시도를 하는건 열려있는 특정포트로 접속을 해서 하게 되는데..
방화벽은 포트를 막아 버립니다.
(고급 해커는 방화벽도 뚫습니다.. ^^)
바이러스도 해킹을 위한 바이러스는 포트를 열게 됩니다.
이른바 백도어라고 하지요..

netstat -nap (열려 있는 모든 포트)
#netstat -l 또는 netstat -nap | grep LISTEN (LISTEN 되는 모든 포트)
#netstat -nap | grep ESTABLISHED | wc -l ( 모든 서비스 동시 접속자 수)
#netstat -nap | grep :80 | grep ESTABLISHED | wc -l ( 웹 동시 접속자 수)

포트스캔 명령어로 확인 하는 방법

# TCP 포트 확인 방법
nmap -sT -p 1-65535 localhost
# UDP 포트 확인 방법
nmap -sU -p 1-65535 localhost
# 네트워크에 열린 포트 확인
nmap -sX -p 22,53,110 211.239.111.*

lsof 명령어로 확인 방법

# 모든 네트워크 소켓 확인
lsof -I

1. netstat : 현재 님 컴퓨터와 연결되었거나 연결될 목록을 프로토콜과 함께 보여주는 도스 명령어입니다.

2. netstat -a : 현재 님컴터와 연결되거나 연결될 목록을 프로토콜과 함께 모두 보여줍니다. -a 옵션이 없으면 연결된 목록만 보여주는데, -a 옵션을 주면 연결되었거나 연결을 기다리는 목록을 모두 보여줍니다.

3. netstat -n : 통상 연결 목록이 컴퓨터 이름이 나오는데, -n 옵션을 주면 컴퓨터이름대신 ip주소가 뜹니다.

4. netstats -an or -na : 둘다 같은 의미인데 님 컴퓨터와 연결되었던 혹은 연결을 기다리는 목록을 아이피주소로 바꾸어서 보여줍니다.

Command 모드에서 netstat를 사용하여 PC내의 악성 코드 여부를 확인할 수도 있다.

1. [시작버튼] > [실행]을 눌러서 cmd 라고 입력하여 Command 창을 띄운다.

<참고: CTRL+R 을 누르면 [실행]창이 바로 뜬다.>

<또 참고: Windows 98에서는 cmd 가 아니라 command 라고 해야 command 창이 나온다.>

 

2. netstat -an

이 명령어를 치면 아래 그림과 같은 메시지가 출력된다.

 

이 명령어를 치면 아래 그림과 같은 메시지가 출력된다.

앞에 보이는 IP주소(Local Address)는 로컬시스템(내 PC)의 IP주소이며 뒤의 IP주소(Foreign Address)는 나와 네트워크로 연결이 이루어진 시스템의 IP주소이다. (IP뒤의 ":숫자" 들은 포트 번호이다.)netstat 명령어는 현재 시스템과 네트워크로 연결이 이루어진 상태를 보여주는 명령어다.

자, 이제 분석 방법이다!(FPORT 블로그에서는 존댓말을 썼었는데 왜 갑자기 반말쓰냐고 욕하지는 마세요;)

 

먼저 위 메시지의 맨 끝 필드인 State 필드를 보자. ESTABLISHED는 연결되어있는 상태를 말하며 CLOSED는 이미 연결이 끊어졌음을 말한다. LISTENING은 현재 시스템에서 열려있는 포트를 말한다.

일단 LISTENING 이라고 되어있는 놈들은 본다. IP주소는 0.0.0.0으로 된 놈들이 많고 내 IP주소 몇개 안될것이다.

<참고: 0.0.0.0(네트워크 IP) - 이놈을 인식하지 못하면 인터넷을 못한다.>

<또 참고: 127.0.0.1(LocalHost IP) - 이놈은 자기를 스스로 가리킬때 사용하는 주소이다.>

Local Address 필드의 IP는 중요하지 않다. 어차피 거기는 내 컴퓨터의 정보만 나오니까. 중요한것은 LISTENING으로 되어있는, 다시말하면 "열려있는 포트"번호이다.

내 컴퓨터에 몇번 포트들이 열려있는지 살펴본 후에, 만일 그 포트로 접속한 놈이 있다면 90%는 뭔가 이상한 거라고 생각하면 된다.

예를 들어,

0.0.0.0:445 0.0.0.0:0 LISTENING

. . .

. . .

. . .

150.2.50.14:445 68.235.32.153:4461 ESTABLISHED

 

이렇게 보였다고 하자, 445 번 포트(0.0.0.0:445)가 현재 열려(LISTENING)있음을 알 수 있고,

아래에는 내 445번 포트로(150.2.50.14:445) 웬 68.235.32.153 이라는 놈이 접속(ESTABLISHED)했다는 것이 확 드러났다.

 

일반 개인 컴퓨터 이므로 누가 내 컴퓨터로 들어올일은 거의 없다! (P2P로 내 컴퓨터의 폴더가 공유되어 있다면 몰라도..)

아무튼 이런식으로 분석을 하면 되겠다.

그 외의 것들은 죄다 내가 상대방 컴퓨터로 접속한것을 나타내는 것이기 때문에 무시해도 된다. 물론, Reverse 해킹 방식이 있기는 하지만, 그걸 개인 컴퓨터에 적용할 정도로 무식한 크래커는 없을것이다.

netstat 명령어를 치시면 foreign address 라는 게 있죠.

그 곳에 아이피 : 숫자

일케 써있잖아요..

여기서 숫자는 포트라는것 입니다.

컴퓨터의 열려있는 창문이라고 생각하면 되죠.

트로이목마 프로그램이 침투하려면 그 프로그램이 침투할수 있는 고유의 창문 ,즉 포트가 열려있어야 합니다.

서버파일이란게 있는데 그 프로그램이 침투할수있는 포트를 여는 역할을 하죠.

여기서 아까 netstat 명령어 치면 나오는거..

아이피:숫자 있잖아요.

만약에

211.111.111.111 :12345
이렇게 됐으면 12345라는 포트에 211.111.111.111 이라는 아이피가 접속해있다는 겁니다.

12345라는 포트는 넷버스 1.70가 침투할수 있는 포트번호죠...

제가 여러 트로이목마 프로그램이 침투하는 포트번호들을 모아봤습니다.해커뉴스에서 펌

port 2 - Death
port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, MBT, Motiv, Net Administrator, Senna Spy FTP Server, WebEx, WinCrash
port 23 - Tiny Telnet Server, Truva Atl
port 25 - Aji, Antigen, Email Password Sender, Gip, Happy 99, I Love You, Kuang 2, Magic Horse, Moscow Email Trojan, Naebi, NewApt, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
port 31 - Agent 31, Hackers Paradise, Masters Paradise
port 41 - DeepThroat
port 48 - DRAT
port 50 - DRAT
port 59 - DMSetup
port 79 - Firehotcker
port 80 - Back End, Executor, Hooker, RingZero
port 99 - Hidden Port
port 110 - ProMail trojan
port 113 - Invisible Identd Deamon, Kazimas
port 119 - Happy 99
port 121 - JammerKillah
port 123 - Net Controller
port 133 - Farnaz, port 146 - Infector
port 146 (UDP) - Infector
port 170 - A-trojan
port 421 - TCP Wrappers
port 456 - Hackers Paradise
port 531 - Rasmin
port 555 - Ini-Killer, NeTAdministrator, Phase Zero, Stealth Spy
port 606 - Secret Service
port 666 - Attack FTP, Back Construction, NokNok, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
port 667 - SniperNet
port 669 - DP Trojan
port 692 - GayOL
port 777 - Aim Spy
port 808 - WinHole
port 911 - Dark Shadow
port 999 - DeepThroat, WinSatan
port 1000 - Der Spacher 3
port 1001 - Der Spacher 3, Le Guardien, Silencer, WebEx
port 1010 - Doly Trojan
port 1011 - Doly Trojan
port 1012 - Doly Trojan
port 1015 - Doly Trojan
port 1016 - Doly Trojan
port 1020 - Vampire
port 1024 - NetSpy
port 1042 - Bla
port 1045 - Rasmin
port 1050 - MiniCommand
port 1080 - WinHole
port 1081 - WinHole
port 1082 - WinHole
port 1083 - WinHole
port 1090 - Xtreme
port 1095 - RAT
port 1097 - RAT
port 1098 - RAT
port 1099 - BFevolution, RAT
port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
port 1200 (UDP) - NoBackO
port 1201 (UDP) - NoBackO
port 1207 - SoftWAR
port 1212 - Kaos
port 1225 - Scarab
port 1234 - Ultors Trojan
port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse, Tiles
port 1245 - VooDoo Doll
port 1255 - Scarab
port 1256 - Project nEXT
port 1269 - Mavericks Matrix
port 1313 - NETrojan
port 1338 - Millenium Worm
port 1349 (UDP) - BO DLL
port 1492 - FTP99CMP
port 1509 - Psyber Streaming Server
port 1524 - Trinoo
port 1600 - Shivka-Burka
port 1777 - Scarab
port 1807 - SpySender
port 1966 - Fake FTP
port 1969 - OpC BO
port 1981 - Shockrave
port 1999 - BackDoor, TransScout
port 2000 - Der Spaeher 3, Insane Network, TransScout
port 2001 - Der Spaeher 3, TransScout, Trojan Cow
port 2002 - TransScout
port 2003 - TransScout
port 2004 - TransScout
port 2005 - TransScout
port 2023 - Ripper
port 2080 - WinHole
port 2115 - Bugs
port 2140 - Deep Throat, The Invasor
port 2155 - Illusion Mailer
port 2283 - HVL Rat5
port 2300 - Xplorer
port 2565 - Striker
port 2583 - WinCrash
port 2600 - Digital RootBeer
port 2716 - The Prayer
port 2773 - SubSeven
port 2801 - Phineas Phucker
port 3000 - Remote Shutdown
port 3024 - WinCrash
port 3128 - RingZero
port 3129 - Masters Paradise
port 3150 - Deep Throat, The Invasor
port 3456 - Teror Trojan
port 3459 - Eclipse 2000, Sanctuary
port 3700 - Portal of Doom
port 3791 - Eclypse
port 3801 (UDP) - Eclypse
port 4000 - Skydance
port 4092 - WinCrash
port 4242 - Virtual hacking Machine
port 4321 - BoBo
port 4444 - Prosiak, Swift remote
port 4567 - File Nail
port 4590 - ICQTrojan
port 5000 - Bubbel, Back Door Setup, Sockets de Troie
port 5001 - Back Door Setup, Sockets de Troie
port 5010 - Solo
port 5011 - One of the Last Trojans (OOTLT)
port 5031 - NetMetropolitan
port 5031 - NetMetropolitan
port 5321 - Firehotcker
port 5343 - wCrat
port 5400 - Blade Runner, Back Construction
port 5401 - Blade Runner, Back Construction
port 5402 - Blade Runner, Back Construction
port 5550 - Xtcp
port 5512 - Illusion Mailer
port 5555 - ServeMe
port 5556 - BO Facil
port 5557 - BO Facil
port 5569 - Robo-Hack
port 5637 - PC Crasher
port 5638 - PC Crasher
port 5742 - WinCrash
port 5882 (UDP) - Y3K RAT
port 5888 - Y3K RAT
port 6000 - The Thing
port 6006 - The Thing
port 6272 - Secret Service
port 6400 - The Thing
port 6667 - Schedule Agent
port 6669 - Host Control, Vampyre
port 6670 - DeepThroat, BackWeb Server, WinNuke eXtreame
port 6711 - SubSeven
port 6712 - Funny Trojan, SubSeven
port 6713 - SubSeven
port 6723 - Mstream
port 6771 - DeepThroat
port 6776 - 2000 Cracks, BackDoor-G, SubSeven
port 6838 (UDP) - Mstream
port 6912 - Shit Heep (not port 69123!)
port 6939 - Indoctrination
port 6969 - GateCrasher, Priority, IRC 3, NetController
port 6970 - GateCrasher
port 7000 - Remote Grab, Kazimas, SubSeven
port 7001 - Freak88
port 7215 - SubSeven
port 7300 - NetMonitor
port 7301 - NetMonitor
port 7306 - NetMonitor
port 7307 - NetMonitor
port 7308 - NetMonitor
port 7424 - Host Control
port 7424 (UDP) - Host Control
port 7789 - Back Door Setup, ICKiller
port 7983 - Mstream
port 8080 - RingZero
port 8787 - Back Orifice 2000
port 8897 - HackOffice
port 8988 - BacHack
port 8989 - Rcon
port 9000 - Netministrator
port 9325 (UDP) - Mstream
port 9400 - InCommand
port 9872 - Portal of Doom
port 9873 - Portal of Doom
port 9874 - Portal of Doom
port 9875 - Portal of Doom
port 9876 - Cyber Attacker, RUX
port 9878 - TransScout
port 9989 - iNi-Killer
port 9999 - The Prayer
port 10067 (UDP) - Portal of Doom
port 10085 - Syphillis
port 10086 - Syphillis
port 10101 - BrainSpy
port 10167 (UDP) - Portal of Doom
port 10528 - Host Control
port 10520 - Acid Shivers
port 10607 - Coma
port 10666 (UDP) - Ambush
port 11000 - Senna Spy
port 11050 - Host Control
port 11051 - Host Control
port 11223 - Progenic trojan, Secret Agent
port 12076 - Gjamer
port 12223 - Hack´99 KeyLogger
port 12345 - GabanBus, My Pics, NetBus, Pie Bill Gates, Whack Job, X-bill
port 12346 - GabanBus, NetBus, X-bill
port 12349 - BioNet
port 12361 - Whack-a-mole
port 12362 - Whack-a-mole
port 12623 (UDP) - DUN Control
port 12624 - Buttman
port 12631 - WhackJob
port 12754 - Mstream
port 13000 - Senna Spy
port 13010 - Hacker Brazil
port 15092 - Host Control
port 15104 - Mstream
port 16660 - Stacheldracht
port 16484 - Mosucker
port 16772 - ICQ Revenge
port 16969 - Priority
port 17166 - Mosaic
port 17300 - Kuang2 The Virus
port 17777 - Nephron
port 18753 (UDP) - Shaft
port 19864 - ICQ Revenge
port 20001 - Millennium
port 20002 - AcidkoR
port 20034 - NetBus 2 Pro, NetRex, Whack Job
port 20203 - Chupacabra
port 20331 - Bla
port 20432 - Shaft
port 20432 (UDP) - Shaft
port 21544 - GirlFriend, Kidterror, Schwindler, WinSp00fer
port 22222 - Prosiak
port 23023 - Logged
port 23432 - Asylum
port 23456 - Evil FTP, Ugly FTP, Whack Job
port 23476 - Donald Dick
port 23476 (UDP) - Donald Dick
port 23477 - Donald Dick
port 26274 (UDP) - Delta Source
port 26681 - Spy Voice
port 27374 - SubSeven
port 27444 (UDP) - Trinoo
port 27573 - SubSeven
port 27665 - Trinoo
port 29104 - Host Control
port 29891 (UDP) - The Unexplained
port 30001 - TerrOr32
port 30029 - AOL Trojan
port 30100 - NetSphere
port 30101 - NetSphere
port 30102 - NetSphere
port 30103 - NetSphere
port 30103 (UDP) - NetSphere
port 30133 - NetSphere
port 30303 - Sockets de Troie
port 30947 - Intruse
port 30999 - Kuang2
port 31335 (UDP) - Trinoo
port 31336 - Bo Whack, ButtFunnel
port 31337 - Baron Night, BO client, BO2, Bo Facil
port 31337 (UDP) - BackFire, Back Orifice, DeepBO, Freak>
port 31338 - NetSpy DK, ButtFunnel
port 31338 (UDP) - Back Orifice, DeepBO
port 31339 - NetSpy DK
port 31666 - BOWhack
port 31785 - Hack´a´Tack
port 31787 - Hack´a´Tack
port 31788 - Hack´a´Tack
port 31789 (UDP) - Hack´a´Tack
port 31791 (UDP) - Hack´a´Tack
port 31792 - Hack´a´Tack
port 32100 - Peanut Brittle, Project nEXT
port 32418 - Acid Battery
port 33333 - Blakharaz, Prosiak
port 33577 - PsychWard
port 33777 - PsychWard
port 33911 - Spirit 2001a
port 34324 - BigGluck, TN
port 34555 (UDP) - Trinoo (Windows)
port 35555 (UDP) - Trinoo (Windows)
port 37651 - YAT
port 40412 - The Spy
port 40421 - Agent 40421, Masters Paradise
port 40422 - Masters Paradise
port 40423 - Masters Paradise
port 40426 - Masters Paradise
port 41666 - Remote Boot
port 41666 (UDP) - Remote Boot
port 44444 - Prosiak
port 47262 (UDP) - Delta Source
port 50505 - Sockets de Troie
port 50766 - Fore, Schwindler
port 51996 - Cafeini
port 52317 - Acid Battery 2000
port 53001 - Remote Windows Shutdown
port 54283 - SubSeven
port 54320 - Back Orifice 2000
port 54321 - School Bus
port 54321 (UDP) - Back Orifice 2000
port 57341 - NetRaider
port 58339 - ButtFunnel
port 60000 - Deep Throat
port 60068 - Xzip 6000068
port 60411 - Connection
port 61348 - Bunker-Hill
port 61466 - Telecommando
port 61603 - Bunker-Hill
port 63485 - Bunker-Hill
port 65000 - Devil, Stacheldracht
port 65432 - The Traitor
port 65432 (UDP) - The Traitor
port 65535 - RC
이렇게 있습니다.

이걸 봄으로서 무슨 프로그램을 사용하여 컴을 공격했는지 알수 있습니다.
그리고 그냥 netstat 명령어를 사용하지 마시고

netstat -an 이라는 명령을 사용해서 보시기 바랍니다.

netstat 명령어로 장애처리

1. netstat -rn

netstat 명령은 라우팅 테이블을 보여주므로 네트웍 상태를 확인할 수 있음.
(참고: Cisco router: sh ip route, Extreme switch: sh iproute)

netstat -rn 은 라우팅 테이블을 수치로 보여주는 것으로 이렇게 하면 이름 찾기를 하는 것 보다 빠르고 /etc/services, /etc/hosts 파일이 정확하지 않을 때 혼동을 피하기 위해서도 사용할 수 있으며, 또한 직관적으로 IP 주소를 확인할 수 있다.

Flags에서 U는 경로가 사용 가능한 상태, H는 목적지가 네트웍이 아닌 호스트이며, G는 게이트웨이나 라우터를 의미한다. 또한, 브로트캐스트 b, 정적으로 추가된 항목은 S, 복제의 결과로 생성된 경로임을 나타내는 W와 c등을 포함한다.

sol:/bin% netstat -rn ; r 은 Routing Table을 나타내며 n 은 주소와 포트를 숫자로 나타내줌.

Routing Table:
Destination Gateway Flags Ref Use Interface
-------------------- -------------------- ----- ----- ------ ---------
210.116.105.0 210.116.105.112 U 3 1306 hme0
10.107.11.0 10.107.11.112 U 2 685 hme1
10.107.0.0 10.107.11.254 UG 0 19334
224.0.0.0 210.116.105.112 U 3 0 hme0
default 210.116.105.126 UG 0 179635
127.0.0.1 127.0.0.1 UH 0 4414 lo0

2. netstat -an

netstat의 기능 하나는 한 호스트에서의 연결 내역(all connections)과 서비스의 목록(listening ports)을 보여주는 것이다. (netstat ?a)

바이러스, 웜 이나 해킹등의 상태를 확인할 수 있는 수단이 될 수도 있다.

Listening이나 Established 된 Session의 IP 주소나 포트를 확인한다.
http://www.ccgsecurity.com/port.asp

Pipe line과 함께 Unix/Linux는 grep, Windows는 find 옵션을 병행하여, 특정 포트를 검색한다.

analysisman:/home/elca% netstat -an | grep 22
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 210.116.123.195:21 211.226.105.161:3044 ESTABLISHED
tcp 0 48 210.116.123.195:22 210.116.123.196:3619 ESTABLISHED
tcp 0 0 210.116.123.195:22 210.116.123.196:3618 ESTABLISHED

C:\\>netstat -an | find "445"
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 *:*

3. netstat -i, netstat -e

netstat ?i (Unix/Linux), netstat ?e (Windows) 옵션을 이용하여 해당 인터페이스의 패킷량과 에러, Collision 등을 확인할 수 있다.

특정 프로토콜의 연결 현황 파악하기
- Unix: netstat -P protocol (tcp/udp…)
- Linux: netstat -tcp/-udp
- Windows: netstat -p protocol
* -s (statistics)옵션을 같이 사용하면 해당 프로토콜의 통계치를 볼 수 있다.

C:\\>netstat -s -p tcp
TCP Statistics
Active Opens = 204
Passive Opens = 734
Failed Connection Attempts = 2
Reset Connections = 263
Current Connections = 2
Segments Received = 44759
Segments Sent = 26058
Segments Retransmitted = 15

상기 예제를 보면 26,058 TCP 세그먼트가 서버에 의해 전송되었고 15개의 재전송(Retransmission)이 발생하였다. 이것은 1% 보다 작다. 만약, 퍼센트가 이보다 높아진다면 Analyzer를 걸어서 TCP 트래픽을 조사해야 한다

네트워크를 확실하게 보호하고 점검, 모니터링한다 - Netstat Agent

(출처 : '[tacchan]★시스템 명령어인 netstat 를 사용하는 방법' - 네이버 지식iN)

OverFlow 커뮤니티를 보다가 정말 괜찮은 소스가 있길래 옮겨둔다

FILE * fp = popen("ifconfig", "r");
            if (fp) {
                    char *p=NULL, *e; size_t n;
                    while ((getline(&p, &n, fp) > 0) && p) {
                       if (p = strstr(p, "inet addr:")) {
                            p+=10;
                            if (e = strchr(p, ' ')) {
                                 *e='\0';
                                 printf("%s\n", p);
                                 break;
                            }
                       }
                    }
            }
            pclose(fp);

ssh root@192.168.10.116 -t "cd /home/bluebamus/test; bash --login"
ssh root@192.168.10.161 -t "cd /home/bluebamus/105_error/test; bash --login"

find . -name zoolog.txt -exec rm -rf {} \;