네트워크 상태 보기! - TCP View 편 (1)

2011. 12. 18. 18:04개발/서버

TCP View는 TCP와 UDP의 연결 상태를 확인 할 수 있는 네트워크 모니터링 tool로서 실행중인 프로세스와 연결된 네트워크의 Local Address와 Remote Address 정보를 알려줍니다.
TCP View의 이와 같은 기능을 통해 악성코드의 네트워크 동작 여부를 실시간으로 모니터링 할 수 있으며 실행중인 프로세스를 직접 종료 또는 연결을 끊을 수도 있습니다.

원본 링크 (http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx ) 
MS 홈페이지 원문

프로그램을 다운로드 하면 폴더에 아래와 같은 파일들이 보입니다.


Tcpvcon.exe는 명령 프롬프트용으로 Tcpview.exe와 동일한 기능을 하며 이 글에서는 Tcpview.exe를 이용하여 설명 드리겠습니다.
Tcpview.exe을 실행시키면 최초 아래의 화면이 보이며, 빨간 박스 안의 프로세스들은 정상적인 것들입니다.

정상인지 아닌지는 해당 프로세스의 정보를 확인하면 알 수 있는데요, System 프로세스를 제외한 나머지 프로세스는 오른쪽 마우스 클릭 후 Properties를 통해 정보를 확인 할 수 있습니다.
 
여기서 Tip!
아래 옵션을 잘 이용하면 더욱더 편리합니다.

왼쪽부터 차례대로 설명 드리면 ① 디스크 모양의 옵션은 현재 상태를 텍스트 파일로 저장하는 기능을 하며, ②A 옵션은 로컬 및 원격지 주소를 IP 주소 또는 호스트 이름으로 설정하는 기능입니다. ③오른쪽에 화살 같은 모양의 옵션은 현재 연결된 상태 또는 열린 모든 프로그램을 볼 수 있도록 설정하는 기능을 합니다. ④마지막은 새로 고침 옵션입니다.
 
여기서 화살 같은 모양의 옵션을 잘 이용하면 비교적 깔끔하게(?) 정리된 화면을 볼 수 있는데요, 이 옵션을 선택하면 루프백(loopback)을 제외한 현재 연결된 정보만 화면에 표시할 수 있습니다.
 
여기서, TCPView에서 보여주는 정보에 대해 간략히 설명 드리겠습니다.



ü
  
목록들의 색

l  초록색 : 정상 연결

l  빨강색 : 연결이 끊기거나 종료되었을 때

l  노란색 : 연결이 바뀌었을 때

ü  process : 실행중인 프로세스

ü  Protocol : 프로토콜(TCP 또는 UDP) 이름

ü  Local Address 사용 중인 로컬 PC의 IP 주소와 포트 번호

ü  Remote Address 소켓이 연결된 원격 PC IP주소와 포트 번호

ü  State : 연결 상태 표시

l  CLOSE_WAIT원격의 연결 요청을 받고 연결이 종료되기를 기다리는 상태

l  CLOSED: Server 완전히 연결이 종료된 상태

l  ESTABLISHED서로 연결이 되어 있는 상태

l  FIN_WAIT_1소켓이 닫히고 연결이 종료되고 있는 상태

l  FIN_WAIT_2로컬이 원격으로부터 연결 종료 요구를 기다리는 상태

l  LAST_ACK연결은 종료되었고 승인을 기다리는 상태

l  LISTEN데몬이 요청을 발을 수 있도록 연결 요구를 기다리는 상태
 
포트가 열려있음을 의미

l  SYN_RECEIVED원격으로부터 연결 요청을 받은 상태

l  SYN_SEND로컬에서 원격으로 연결 요청(SYN 신호를 보냄)을 시도한 상태

l  TIMED_WAIT연결은 종료되었으나 원격의 수신 보장을 위해 기다리고 있는   

             상태

'개발 > 서버' 카테고리의 다른 글

Crontab을 이용한 ftp 파일 자동 전송받기  (0) 2011.12.21
VSFTP  (1) 2011.12.21
WebDAV  (0) 2011.12.17
[Linux] 쉘 Shell 이란? & 심볼릭 링크 변경  (0) 2011.12.17
데이터 파일경로 php 스크립트 막기  (0) 2011.12.17