이상한 traffic 이 올라옵니다.
글쓴이: ssggkim / 작성시간: 목, 2004/03/11 - 4:20오후
전문적인 지식은 별로 없지만 조그만 회사의 네트워크를 담당하고 있습니다. :wink:
dacom line을 쓰고 있는데 며칠전부터 out traffic이 매우 많이 나가더군요.
256k 계약인데 10M가 나갑니다. :cry:
오늘은 아침부터 계속 10M가 나가길래 며칠전부터 준비해놓던 gentoo에
bridge firewall을 설정하고 ntop을 설치해서 살펴 보니 0.0.0.* 이라는 주소에서
213.8.2.19라는 주소로 무지막지한 packet을 날리고 있더군요.
이건 무슨 현상일까요?
dacom 쪽에 문의해보았지만 잘 모르겠다고 하더군요. 외부에서 들어가는 건
어떻게 해보겠는데 안에서 밖으로 나가는건 저희 책임이라고요...
저희쪽은 모두 MS 계열의 os를 쓰고 있습니다. 98, ME, 2000, XP.
File attachments:
첨부 | 파일 크기 |
---|---|
ActivePorts.zip | 461.74 KB |
tcpview.zip | 38.42 KB |
Forums:
먼저 포트를 확인하여 트래픽 발생피씨를 조사해보시구요,잘 안되면
먼저 포트를 확인하여 트래픽 발생피씨를 조사해보시구요,
잘 안되면 브릿지머신에서 tcpdump나 ethereal같은 도구로 패킷을 잡아서 확인해보세요.
윈도우에서 tcp 서비스 확인할때 유용한 툴 첨부합니다.
^^;;
[quote="박영선"]먼저 포트를 확인하여 트래픽 발생피씨를 조사해보시
답변 감사드립니다.
ntop에서는 실제 트래픽을 발생시키는 pc를 볼 수 없습니다.
(제 실력 부족일 수도 있습니다. 옵션 설정이라던지...)
0.0.0.*의 포트를 보면 거의 모든 포트를 통해서 대상 ip에 packet을
날려대고 있습니다. :cry:
지금은 퇴근한 사람들이 있어서, 문제를 발생시키는 PC가 꺼져있는지
더이상 트래픽이 올라오지는 않네요.
일단 tcpdump를 emerge하고 manual 읽어봐야 겠네요.
한가지 더 질문드릴게 있습니다.
ntop에서 ip가 제대로 표시되지 않는 걸로 봐서 자신의 실제 ip를
숨기고(?) 가상의 0.0.0.*라는 주소에서 보내지는 것처럼 위장하고
있는 듯 한데, tcpdump로 실제 ip를 알아내는 것이 가능한지요?
아니면 ntop에서도 몇몇 설정을 바꿔주면 알아낼 수 있을까요?
아니면 더 강력한 무언가가 필요한지요?
감사합니다.
아이피가 0.0.0.x 가 맞는건가요?출발지아이피를 변조한다하더라
아이피가 0.0.0.x 가 맞는건가요?
출발지아이피를 변조한다하더라도 좀 그럴듯한 아이피로 변조를 하지 0.0.0.x 같은 아이피로는 안하거든요.
패킷의 출발지아이피가 변조됐다면 맥으로 확인하는수밖에 없죠..
tcpdump에 -e 옵션이 링크레벨정보를 출력해줍니다.
arp 로 확인하여 맥어드레스를 비교하면 범인이 나올겁니다.
그리고 혹시 스위치가 포트별 모니터링 가능한 스위치라면 포트별로 모니터링을 해도 좋겠죠.
^^;;
[quote="박영선"]아이피가 0.0.0.x 가 맞는건가요?출발
예, 0.0.0.1~0.0.0.255 까지 거의 다 있는 것 같습니다. 세보지는 않았지만요.
예 감사합니다. 내일 되면 또 한바탕 전쟁을 치뤄야겠군요. :x
[quote="박영선"]먼저 포트를 확인하여 트래픽 발생피씨를 조사해보시
다운로드가 안되는 군요!!! 저번에 KLDP서버 HDD 뻑났을 때 사라졌나 싶군요. 가지고 계신분은 다시 업로드 부탁드려요!!!
.
댓글 달기