현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

비정상 트래픽 유발

acehunter78의 이미지
글쓴이: acehunter78 / 작성시간: 화, 2016/10/11 - 2:27오후

안녕하세요.

CentOS 7 기반에 클라우드 어플리케이션으로 웹기반 파일 공유를 하고 있습니다.

최근들어 서버에서 비정상적인 트래픽이 과다하게 발생하여 서비스가 정상적으로 되지 않는 상황이 발생하는 것을 발견하였습니다.

증상으로 보면, 초기에 서버에서 외부 DNS로 쿼리를 한 다음에 엄청난 수의 외부 서버의 80포트로 패킷을 전송합니다.
TCP연결을 맺기 위하여 syn 패킷이 전송되고 있습니다. 한번 보내기 시작하면 수 초간 거의 1GB/s 의 데이터를 외부로 보내고 있습니다.

이런 과정이 주기적으로 빈번하게 발생하고 있는 실정입니다.

어떤 프로세스가 비정상적인 패킷을 유발하고 있는지 파악하기 어려워 문의 드립니다.
혹시 원인 파악 및 조치를 할 수 있는 방법을 도움 받을 수 있을까요?

Forums: 
설치 및 활용 QnA
백연구원의 이미지

글쓴이: 백연구원 / 작성시간: 화, 2016/10/11 - 3:34오후

그 정도면 top에 나오지 않나요?
일단 자동 업데이트가 의심스럽습니다. "centos disable auto update"

소곤소곤

acehunter78의 이미지

글쓴이: acehunter78 / 작성시간: 화, 2016/10/11 - 5:30오후

top 결과를 첨부했습니다.
"dglrdzekbx" 이란 프로세스가 가장 큰 영향을 미치고 있는데, 어떤 역할을 하는 건지 잘 모르겠습니다.
실제로 이 프로세스와 ymiuhziqv 라는 녀석이 알 수 없는 connection을 맺고 있기에, 모두 pkill하면 증상은 멈춥니다.

dglrdzekb 1153 root 3u IPv4 91071 0t0 TCP smkt-pydio:52941->v.pr.e.cpvps.us:visicron-vs (ESTABLISHED)
ymiuhziqv 1194 root 3u IPv4 107657 0t0 TCP smkt-pydio:58063->25.ip-192-99-70.net:spock (ESTABLISHED)

어떤 프로세스인지 왜 돌아가는 건지 검색을 해도 알 수가 없네요.

댓글 첨부 파일: 
첨부파일 크기
Plain text icon top_result.txt4.63 KB
백연구원의 이미지

글쓴이: 백연구원 / 작성시간: 화, 2016/10/11 - 6:01오후

"dglrdzekbx", "ymiuhziqv" 이게 뭔지는 모르겠지만 사용하시는 클라우드에서 동기화 시에 사용되는 무언가 같은 느낌입니다.
파일 공유가 되는 원리를 보시면 답을 찾을 수 있지 않을까 싶습니다. (혹은 클라우드에서 이용 가능한 서비스)

spock : 2507 (spock)
visicron-vs : 4307 (Visicron Videoconference Service)

소곤소곤

김정균의 이미지

글쓴이: 김정균 / 작성시간: 화, 2016/10/11 - 6:36오후

일단 해당 프로세스를 확인할 수 없다고 하셨는데, 그렇다면 cracking도 의심해 보세요.

tyhan의 이미지

글쓴이: tyhan / 작성시간: 수, 2016/10/12 - 4:32오후

맞습니다.
비트코인 마이닝일 수도 있습니다..

acehunter78의 이미지

글쓴이: acehunter78 / 작성시간: 목, 2016/10/13 - 9:53오전

트패킹이나 비트코인 마이닝이라면 확인 방법과 대처 방안이 어떤게 있을까요?
시스템 관리가 익숙하지 않아 자세한 관리 방법이나 트래킹 방법이 어설풉니다.
방법을 알려주시면 큰 도움이 될 것 같습니다.

감사합니다.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.