현재 인터넷은 수 많은 컴퓨터들로 상호간에 연결되어 있다. 이러한 인터넷의 연결성이라는 특성을
악의를 가진 사용자가 악용하고 있는 경우가 빈번히 발생하고 있다.
최근 들어 급증하고 있는 Worm Virus가 대표적인 경우이다.
Worm Virus는 인터넷에 연결된 임의의 컴퓨터를 감염시켜 폭발적인 인터넷 데이터를 발생시킴으로써
감염된 컴퓨터뿐 만 아니라 네트워크로 연결된 주변의 컴퓨터에서도 인터넷 사용시 영향을 미치게 된다.
특히, 인터넷 공유기를 사용하는 경우에는 감염된 한대의 컴퓨터가 인터넷 공유기에 연결된 나머지 컴퓨터에서
인터넷 사용시 심각할 정도로 영향을 준다.
또한 악의를 가지고 있지는 않더라도 인터넷의 연결성을 이용한 다양한 종류의 P2P(Peer-to-Peer)방식의
어플리케이션들은 SOHO와 같은 환경, 특히 인터넷 공유기를 사용하는 환경에서 네트워크에 많은 영향을 줄 수가 있다.
Worm Virus에 감염된 컴퓨터가 데이터를 폭주시키면, 인터넷 공유기는 폭주하는 데이타를 처리하기 위해
나머지 정상적인 인터넷 데이터를 처리할 수 있는 시간이 줄어 들기 때문에 모든 컴퓨터에서의 인터넷 사용 속도는
느려지게 된다.
이와 같이 상황이 되면, 네트워크에 연결되어 있는 모든 컴퓨터중 어떤 컴퓨터가 바이러스에 감염이 되어 있는지
확인을 하고 반드시 치료를 해야 하고 문제해결을 위해 네트워크 관리자는 모든 컴퓨터로부터 Worm Virus의
감염여부에 대한 검사결과를 확인해야 하는 시간 소모적인 작업을 해야만 한다.
만약 네트워크에 문제를 유발시키는 Worm Virus에 감염된 컴퓨터가 어떤 것이라 것을 예상할 수 있다면
모든 컴퓨터를 검사해야 하는 시간을 줄일 수 있다.
Net Detect는 Worm Virus등에 의해 네트워크에 문제를 유발시키고 있는 원인을 지정된 관리자에게 보고한다.
보고 내용은 문제유발이 감지된 시간, 문제를 유발시키는 PC의 IP주소, 데이터의 프로토콜 및 포트번호,
감지되고 있는 횟수 그리고 예상되는 부가설명을 포함하고 있다.
이와 같이 지정 관리자에게 보고를 하는 동시에, Worm Virus에 감염된 PC의 사용자에게도 해당되는 보고를
같이해 줄 수 있다면, 보다 더 효율적으로 상황에 대처할 수 있을 것이다.
즉, 자신이 사용하고 있는 PC에 어떤 문제점이 있는지 알고 있지 못하는 사용자에게 예상되는 문제점들을 보고해
줌으로써 사용자 자신이 우선적으로 조치를 할 수 있도록 도움을 줄 수 있는 것이다.
해당 사용자에 대한 보고 방식은 Web Browser를 통한 보고 방식을 취하게 된다.
즉, Net Detector는 인터넷을 사용 중인 대상자의 의지와는 관계없이 문제가 감지된 시점에서
항상 Net Detector 보고 페이지로 접속이 이루어지게 한다. 이후 사용자의 확인 과정을 거치게 되면
자신의 목적대로 인터넷 사이트를 접속할 수 있게 된다.
컴퓨터가 Worm Virus에 감염이 되면 특정 목적지를 대상으로 하는 데이터가 폭주를 하게 되는데
이러한 특성을 이용하여 Net Detector는 Worm Virus 감염이 예상되는 컴퓨터를 감지하게 된다.
즉, Net Detector 감시 엔진에서 모든 컴퓨터의 통신 상태를 실시간으로 파악하고 규정한 임계치 이상의 데이터가
감지되면 등록된 관리자에게 E-Mail로 보고를 하고 시스템 이벤트 내역에도 기록을 하게 된다.
Net Detect의 설정 방법을 간략히 살펴보면 다음과 같다.
[공유기 설정 메뉴에서 네트워크 감시 선택]
[네트워크 감시 방법 선택]
위 설정은, 모든통신을 감시대상으로 하고 시스템에 규정한 보통수준으로 감시수준이 설정되어 있으며,
감지된 통신중에서 알려진 Worm Virus에 대해서만 통신을 차단하도록 설정되어 있다.
또한 새로게 감지된 통신이 발견되면 바로 관리자에게 E-Mail 보고를 하고 주기적으로 매일 아침 10시에도
보고를 하도록 설정되어 있다.
그리고 최근들어, 다양한 종류의 Worm Virus 성격을 가지고 있는 P2P 프로그램들이 나오고 있는데,
이러한 P2P 프로그램의 사용에 의해 동일 네트워크의 대역폭이 심각하게 잠식당하고 있다.
예를들어, 소리바다와 당나귀 같은 프로그램이 대표적이라고 할 수 있다.
Net Detector에서는 위와 같은 P2P 프로그램 역시 네트워크 관리에서 중요한 관리 대상이 되기 때문에
Worm Virus와 동일하게 관리자에게 보고 하고 또한 관리자의 요구에 따라 제한할수 있도록 하고 있다.
다음은 Net Detector가 기본적으로 감시하는 어플리케이션 및 웜바이러스의 포트 번호이다.
바이러스 또는 어플리케이션
포트 번호
웜 바이러스 TCP 프로토콜
TCP 25, 135, 139, 445, 707
웜 바이러스 UDP 프로토콜
UDP 137, 1434, 6677
소리 바다
TCP 7674, UDP 22321
당나귀
TCP 4662, UDP 4672
V-Share
TCP 8404, UDP 8402
WinMX
TCP 6699
FileGuri
TCP 9493
KaZaA
TCP 3531, UDP 3531
결론적으로 Net Detector의 목적은 네트워크의 한정되어 있는 자원인 대역폭을 효율적으로 관리할 수 있도록 도와주고,
Worm Virus에 의한 사용자의 피해를 줄여 줄 수 있도록 도와주는데 있다.