안녕하세요 선배님들..
회사에 사용하는 네트웍 IP에서 의심스러운 부분이 있는거 같아
외부IP 정보 만으로 내부IP 찾고있는 상태입니다. ㅜㅜ
라우터에 연결된 모든 내부IP는 외부IP 하나로 포워딩 되어서
현재 네트웍이 구성이 되어있습니다
SK브로드밴드 모뎀
SK브로드밴드 유무선 공유기 ,
L2 스위치 , 사내PC , 모두다
유동IP로 구성 되어있어요,
포워딩된 네트웍 외부IP 하나의 정보로만
내부IP에 의심스러운 부분을 찾으려면
라우터,공유기,케이블모뎀 각 장비에서
어떤 부분을 중점적으로 살펴야할지
선배님들에게 가르침을 받고자 합니다.
감사합니다 (_ _)
6개의 답변이 있습니다.
사내에서 허가 받지 않고 공유기를 사용하게 되면 문제가 생길 수 있습니다.
우선 방치되서나 임의로 사용하는 공유기를 정리해보세요.
그 뒤에 문제가 있으면 해결해 보심이 어떨까 압니다.
다른 응용프로그램으로 확인 할수 있겠으나
그럴려면 기본적인 분석이 필요하죠
차라리 구간별로 하나씩 disable 시키면서
어떤 구간에 어떤 IP들이 오고 가고 트래픽이 흘러 가는지 그리고
어떤 대역들이 사용하고 있는지 확인하시면
전체적으로 내부 네트워크 맵이 나올듯 합니다.
그리고나서 스니핑인지, DDos 인지 확인이 될것 같아요
유동IP라면 아마 192.168.0.X 대역이나 기타 설정하신 대역대로 움직이실겁니다.
그외에 나타나는IP가 외부IP일텐데요. (회사에 들어오는 공인IP일수도 있고..)
아니라면 왠만한 공유기에서 보면 DHCP현황이나, 접속된 IP들을 다 볼수 있을겁니다.. 그 IP에서 의심스러운 단말기를 찾아내실 수 있을겁니다.
wireshark 를 이용해서 찾으려는 관심대상의 ip에 대해서만 필터링될 수 있게 필터를 설정해서 패킷 캡쳐해서 검토해 보세요.
필터는 ip.addr == 111.111.111.111 와 같이 지정한다면 111.111.111.111 ip가 source이건, target이건 모두 캡쳐되기 때문에 어떤 ip의 host와 통신하고, 어떤 정보를 주고 받을 수 있는지 분석할 수 있겠고요.
해당 ip와 통계 정보를 이용해서 가장 빈번히 접속하는 ip, 가장 큰 트래픽을 주고 받는 ip 등도 뽑아 낼 수 있겠고요.
외부 ip와의 트래픽을 캡쳐하려면 외부로 지나가는 관문 역할을 하는 게이트웨이의 트래픽을 캡쳐하면 되겠는데...
gateway가 리눅스 등의 컴퓨터라서 프로그램을 설치할 수 있는 상황이라면 gateway에다 wireshark를 설치해서 패킷 캡쳐해 보면 되겠고요.
프로그램을 설치할 수 있는 기기가 아니라면, 탭을 사용하거나 포트 미러링을 해서 gateway로 지나가는 트래픽을 컴퓨터도 함께받아 오도록 해서 wireshark에서 트래픽을 캡쳐해서 분석해 보면 되겠고요.
네트워크 트러블 슈팅을 하려면 유동 IP보다는 고정 IP를 사용하는게 좋습니다.
유동 IP 사용의 장점은 IP 할당이 편하다는 점 외에는 없는 것 같네요.
큰 요인이 안될 수는 있지만, 네트워크 상에 불필요한 트래픽을 유발시키는 점이나 IP 할당을 위한 시간이 걸리게 한다는 단점에, 네트워크 상에 문제가 생겼을때 문제를 유발하는 호스트를 찾기가 어려워질 수 있다는 큰 단점을 안고 있는 게 유동 IP 방식이다 보니...
사용하는 컴퓨터 대수가 많지 않아도 유동 IP 보다는 고정 IP를 할당해서 사용하는걸 더 권장하고 싶네요.
외부IP는 고정IP일겁니다~내부에서는 DHCP로 운영이 된다면 아마도 대역대가 같을거고 내부에 의심이 된다면 유무선 공유기에서 의심되는 IP를 차단 해보세요
안녕하세요 답변 처음달아보네요 ㅎ
내부IP:포트 --> 외부IP:포트 로 보통은 구분이 되요..