129.146.73.81 이 뭔지는 모르겠지만 눌러보니 NIC 의 MAC Add 가 Asus Router 와 매치가 되네요.
한 5분정도 캡쳐를 돌렸는데요, 26215 개의 캡쳐중에 26000개가 라우터와 계속 주고 받은 것인데요,
제가 초짜라...
이게 원래 이런건가요?
같은 네트워크에 컴퓨터 3대 프린터 4대가 물려있고, 컴퓨터 1대에 SQL Server가 있어서 각 호스트에서 query 를 보내는데
TCP/IP 연결이다 보니 콜리전이 생기고 드랍되는 경우가 종종 있어서요.
해결을 해야겠는데, 서버와 클라이언트 간의 통신보다 서버와 라우터 간의 통신이 너무 많아서 그런 것 같기도 하고요...
혹시 도움을 주실 고수분 계신가요?
미리 감사 드립니다.
8개의 답변이 있습니다.
정상적인 트래픽상황은 아닌것 같습니다.
네트워크 엔지니어에게 상세하게 분석을 요청하시거나
단말별로 트래픽을 구분해서 분석해 보세요
Kyeongsu Kim | 4년 이하 전
제가 이 업체에 네트워크를 설치를 했기 때문에, 제가 책임져야 하는 상황입니다.
미국인데요, 아웃소싱을 주자니 현재 코로나 때문에 현장 지원은 하지 않는다고 하고,
비용도 만만치 않고요...
클라이언트 컴퓨터가 2대 이고, 그 외에 프린터나 카드 결제기 등이 있습니다만, 원글에 올려드린 캡쳐는 서버용 컴퓨터 1대만 돌리고 있던 상황입니다.
첫 패킷에서 보이는 0.4 IP 는 캡쳐가 제대로 되는지 테스트하려고 했던 것이고, 이후 네트워크에서 바로 분리 시켰답니다.ㅠㅠ
sni 필드 확인해서 어떤 도메인인지 한번 확인해 보심이 어떨까요?
Kyeongsu Kim | 4년 이하 전
답변 감사 드립니다.
따로 도메인은 없는 것 같고요, 아래 분께서 올려주신대로 Oracle 에서 관리하는 IP 인 것 같습니다만, 정확히 무슨 용도인지는 잘 모르겠네요 ㅠ
네트워크에 과도한 트래픽이 유발되고 있어 과도한 트래픽을 유발하는 호스트가 어떤 것인지 찾아 보고 싶다면, 와이어 샤크의 Statistics 메뉴에 있는 기능들을 사용해서 찾아 본다면 도움이 많이 될 수 있겠고요.
예를 들어, Statistics 메뉴에 Endpoints 메뉴에서 IP 탭에서 Packets 순 또는 Bytes 순 등으로 정렬해서 어느 장치가 가장 많은 트래픽을 유발시키는지 확인해서, 해당 호스트 중심으로 내용들을 분석해서 조치를 취하면 될 걸로 보여 지고요.
192.168.1.2 host 한대가 129.146.73.81와 계속적인 통신을 주고 받고 있는 상황이네요.
원인이 파악되지 않고, 더 이상 통신을 하지 못하게 하고 싶다면 한대 호스트만 네트워크에서 분리 시켜 버리거나, OS 자체를 포멧하고 다시 설치하면 해결될걸로 보여 지고요.
해당 트래픽에 대한 좀 더 추가적인 정보를 분석해 보고 싶다면, 해당 트래픽에 오른쪽 마우스 클릭해서 단축 메뉴를 띄워서 Follow -> TLS Stream을 통해서 내용을 복호화 시켜 확인 시도를 해 보시거나, 안되면 Follow -> TCP Stream을 통해서라도 둘 사이에 주고 받은 내용을 분석해 봄으로 좀 더 많은 정보들을 찾아 내어 볼 수 있겠고요.
해당 호스트(192.168.1.2)에서 netstat 등의 명령을 이용해서 트래픽을 일으키는 포트로 사용되고 있는 어플리케이션이 무엇인지 확인해 보는게 우선 필요하겠고요.
해당 호스트에서 트래픽을 일으키는 포트는 와이어샤크 창 중 가운데에 있는 패킷 상세창에서 Transmission Control Tree를 통해서 확인해 볼 수 있겠고요.
구체적인 근거 자료들을 가지고 하나 하나 점검해 보면서 찾아 본다면 생각보다 골치 아픈 일은 아닐거라 생각되네요.
차근 차근 해 보다 도저히 안되겠다 싶으면...
어느 장치에서 문제가 발생되고 있는 상황이기 때문에 그 장치를 족쳐(?) 버리면 해결될 문제이겠고요~ㅎㅎ
Kyeongsu Kim | 4년 이하 전
원글입니다.
자세한 답변 감사드립니다.
로컬 컴퓨터 쪽으로 오는 패킷 보다 의문의(?) IP 주소로 보내는 패킷이 월등히 큰데, 복호화할 수 있는 툴이 따로 있나요?
조금 더 자세한 답변 부탁 드려도 될까요 ㅠㅠ
와이어샤크를 돌리면 내부 트래픽 스캔에서 L2/L3 스위치 통신 확인하는건 기본이고 sql뿐만 아니고 그외 port까지 하는데요
불필요한 Port 안보이게 하려면 방화벽에서 내부 차단 하시면 됩니다
Kyeongsu Kim | 4년 이하 전
답변 감사드립니다.
불필요한 네트웤 트래픽이 많은 것 같아서 돌려본 거랍니다. 뭔지를 정확히 알아야 차단을 할 텐데, 성업중인 식당이라 차단 시켰다가 영업에 방해가 될까봐 그런 초강수를 두지는 못하겠네요 ㅠ
네트워크 통신할때 스위치에 연결된 모든 네트워크에 브로드캐스트되는게 기본입니다.
그래서 일반 더미 허브를 사용하면 그 패킨들이 뭘 하나 할때마다 전체 네트워크에 브로드캐스트 되어서 패킷 덤프뜨면 많이 잡힐 수 있을 것 같습니다.
허브를 L3 혹은 네트워크 포트에 Mac 주소를 저장하는 스위치로 바꾸면 브로드캐스트 없이 해당 맥 포트로 바로 보내기 때문에 망에 떠도는 트래픽이 줄어듭니다.
Kyeongsu Kim | 4년 이하 전
답변 감사드립니다.
Asus 에서 나온 8포트 짜리 라우터에 Netgear 에서 나온 8포트짜리 Smart managed Switch 를 사용중입니다.
정 안되면 업주에게 투자를 하라고 해서 스몰 비지니스 용 솔루션에서 탈피를 해야 할 것 같네요 ㅠ
129.146.73.81이 Oracle 소유의 IP로 조회되네요.
https://who.is/whois-ip/ip-address/129.146.73.81
라우터는 게이트웨이 용도로 사용되게 되죠.
게이트웨이라는 건 외부(인터넷)와 통신하기 위한 통로가 되겠고요.
사내 각 컴퓨터에 설치되어 사용되는 각종 Application들 중에 외부와 통신을 필요로 하는게 있다면 모두 게이트웨이를 통해서 정보를 주고 받게 되겠죠.
외부와 통신을 필요로 하는 각종 어플리케이션이라면, 웹브라우저도 되겠고, 카톡 같은 것도 되겠고,
클라우드에 접속한다면 클라우드용 에이전트 소프트웨어도 해당되고,
윈도, 리눅스 등 OS에서도 최신 패치 확인 등을 위해서 인터넷 상에 있는 외부 서버들과 수시로 정보를 주고 받게 될테고...
심지어 외부와 통신이 전혀 필요 없을것 같아 보이는 소프트웨어 개발시 포함시켜는 각종 상용 컴포넌트들도 외부와 통신을 시도하고 있는게 관측되고...
내부 네트워크에 있다고 생각한 서버도 Net Mask 설정에 따라 다른 네트워크에 있다는 걸로 계산될 경우에는 두대의 호스트가 직접 통신하지 않고, 게이트웨이를 통해서 통신하게 되기 때문에 게이트웨이로 트래픽이 전달되게 되고요.
Kyeongsu Kim | 4년 이하 전
저도 아이피 검색은 해봤는데 오라클과 무슨 상관이 있는지 모르겠습니다.
어플리케이션에서도, 운영체제에서도, 어떠한 것도 오라클과는 상관이 없거든요...
클라우드도 아니고, 윈도우가 내부에서 오라클과 통신할 이유가 없다면, 저 트래픽은 유령(?) 트래픽입니다.
골치아프네요ㅠ
서버의 용도와 서비스가 무엇인지 모르지만
웹서버인가요?
외부로 통신하면 라우터와 통신하니 당연하다고 봅니다
반대로 sql처럼 외부 통신이 불필요한 서버라면 분석이 필요하다고 생각되네요
Kyeongsu Kim | 4년 이하 전
글쓴이입니다.
POS 서버라서 외부통신은 많지 않습니다. SQL은 내부에서 도니까요.
저 상황에서 제가 했던것이라고는 원격접속 뿐인데요, 저런 상황이 펼쳐지니 난감하네요..
자꾸 내부 트래픽에 과부하가 걸리는 것 같은 현상이 보이는데, 외부 통신이 저렇게 많다는게 이상하네요ㅠ