이상한 traffic 이 올라옵니다.

ssggkim의 이미지

전문적인 지식은 별로 없지만 조그만 회사의 네트워크를 담당하고 있습니다. :wink:
dacom line을 쓰고 있는데 며칠전부터 out traffic이 매우 많이 나가더군요.
256k 계약인데 10M가 나갑니다. :cry:
오늘은 아침부터 계속 10M가 나가길래 며칠전부터 준비해놓던 gentoo에
bridge firewall을 설정하고 ntop을 설치해서 살펴 보니 0.0.0.* 이라는 주소에서
213.8.2.19라는 주소로 무지막지한 packet을 날리고 있더군요.
이건 무슨 현상일까요?
dacom 쪽에 문의해보았지만 잘 모르겠다고 하더군요. 외부에서 들어가는 건
어떻게 해보겠는데 안에서 밖으로 나가는건 저희 책임이라고요...
저희쪽은 모두 MS 계열의 os를 쓰고 있습니다. 98, ME, 2000, XP.

File attachments: 
첨부파일 크기
Package icon ActivePorts.zip461.74 KB
Package icon tcpview.zip38.42 KB
박영선의 이미지

먼저 포트를 확인하여 트래픽 발생피씨를 조사해보시구요,

잘 안되면 브릿지머신에서 tcpdump나 ethereal같은 도구로 패킷을 잡아서 확인해보세요.

윈도우에서 tcp 서비스 확인할때 유용한 툴 첨부합니다.

댓글 첨부 파일: 
첨부파일 크기
Package icon 0바이트
Package icon 0바이트

^^;;

ssggkim의 이미지

박영선 wrote:
먼저 포트를 확인하여 트래픽 발생피씨를 조사해보시구요,

잘 안되면 브릿지머신에서 tcpdump나 ethereal같은 도구로 패킷을 잡아서 확인해보세요.

윈도우에서 tcp 서비스 확인할때 유용한 툴 첨부합니다.

답변 감사드립니다.

ntop에서는 실제 트래픽을 발생시키는 pc를 볼 수 없습니다.
(제 실력 부족일 수도 있습니다. 옵션 설정이라던지...)
0.0.0.*의 포트를 보면 거의 모든 포트를 통해서 대상 ip에 packet을
날려대고 있습니다. :cry:
지금은 퇴근한 사람들이 있어서, 문제를 발생시키는 PC가 꺼져있는지
더이상 트래픽이 올라오지는 않네요.
일단 tcpdump를 emerge하고 manual 읽어봐야 겠네요.

한가지 더 질문드릴게 있습니다.
ntop에서 ip가 제대로 표시되지 않는 걸로 봐서 자신의 실제 ip를
숨기고(?) 가상의 0.0.0.*라는 주소에서 보내지는 것처럼 위장하고
있는 듯 한데, tcpdump로 실제 ip를 알아내는 것이 가능한지요?
아니면 ntop에서도 몇몇 설정을 바꿔주면 알아낼 수 있을까요?
아니면 더 강력한 무언가가 필요한지요?

감사합니다.

박영선의 이미지

아이피가 0.0.0.x 가 맞는건가요?

출발지아이피를 변조한다하더라도 좀 그럴듯한 아이피로 변조를 하지 0.0.0.x 같은 아이피로는 안하거든요.

패킷의 출발지아이피가 변조됐다면 맥으로 확인하는수밖에 없죠..

tcpdump에 -e 옵션이 링크레벨정보를 출력해줍니다.

arp 로 확인하여 맥어드레스를 비교하면 범인이 나올겁니다.

그리고 혹시 스위치가 포트별 모니터링 가능한 스위치라면 포트별로 모니터링을 해도 좋겠죠.

^^;;

ssggkim의 이미지

박영선 wrote:
아이피가 0.0.0.x 가 맞는건가요?

출발지아이피를 변조한다하더라도 좀 그럴듯한 아이피로 변조를 하지 0.0.0.x 같은 아이피로는 안하거든요.

예, 0.0.0.1~0.0.0.255 까지 거의 다 있는 것 같습니다. 세보지는 않았지만요.

박영선 wrote:

패킷의 출발지아이피가 변조됐다면 맥으로 확인하는수밖에 없죠..

tcpdump에 -e 옵션이 링크레벨정보를 출력해줍니다.

arp 로 확인하여 맥어드레스를 비교하면 범인이 나올겁니다.

그리고 혹시 스위치가 포트별 모니터링 가능한 스위치라면 포트별로 모니터링을 해도 좋겠죠.

예 감사합니다. 내일 되면 또 한바탕 전쟁을 치뤄야겠군요. :x

익명 사용자의 이미지

박영선 wrote:
먼저 포트를 확인하여 트래픽 발생피씨를 조사해보시구요,

잘 안되면 브릿지머신에서 tcpdump나 ethereal같은 도구로 패킷을 잡아서 확인해보세요.

윈도우에서 tcp 서비스 확인할때 유용한 툴 첨부합니다.

ActivePorts.zip 461.74 KB 다운로드수: 41 번

tcpview.zip 38.42 KB 다운로드수: 30 번

다운로드가 안되는 군요!!! 저번에 KLDP서버 HDD 뻑났을 때 사라졌나 싶군요. 가지고 계신분은 다시 업로드 부탁드려요!!!

.

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.