스위치의 포트에 단기적인 트래픽이 과하게 걸리고 있습니다

쓰기

스위치의 포트에 단기적인 트래픽이 과하게 걸리고 있습니다

회원K

2013-07

2013-07-14 12:43:10

조회 6395 추천 0

오늘도 새벽 5시에 IDC에 있는 서버 1대에 500mbps가 넘는 트래픽이 짧게 걸렸습니다.

그것으로 인한 서버 down이나 그런 것은 없었고, 해당서버는 다른 서버와 연결없이 1대로 서비스를 하고 있습니다.

apache에서 과하게 뭔 짓을 한것도 아니고,

ftp나 ssh로 엄청난 접속을 하려고 한 것도 아닌데...

원인을 어디서 찾아야 할까요?

얼마전 스위치를 1/100에서 1/1000으로 바꾼 이후에 매일 1대씩 돌아가면서 생기는 일인데,

스위치의 문제일까요?

- to be continue -

짧은글 일수록 신중하게.



박 2013-07 만만한게 서버니 일단 서버들부터 조사해보시지요. 서버모니터링중이시라면 들어간 트래픽이 어느서버로부터인지도 확인해보시구요, 해당시간대 크론웍들, 아파치로그, messages, maillog들 뒤져보면 일단 가닥이 좀 잡히지않을까싶습니다. 서버에서 해결안되면 트래픽 튀는시간에 패킷잡아서 분석해봐야지요. 만만한게 서버니 일단 서버들부터 조사해보시지요. 서버모니터링중이시라면 들어간 트래픽이 어느서버로부터인지도 확인해보시구요, 해당시간대 크론웍들, 아파치로그, messages, maillog들 뒤져보면 일단 가닥이 좀 잡히지않을까싶습니다. 서버에서 해결안되면 트래픽 튀는시간에 패킷잡아서 분석해봐야지요.



회원K 2013-07 해당시간대의 cron works, apache log, messages, maillog...모두 조용합니다. 그냥 통상적인 수준의 트래픽 입니다. 하루에 1대씩 새벽 5시에... 그러네요. 해당시간대의 cron works, apache log, messages, maillog...모두 조용합니다. 그냥 통상적인 수준의 트래픽 입니다. 하루에 1대씩 새벽 5시에... 그러네요.



강기용 2013-07 발생한 시점이 비슷하다고 하면 그 시간대에 패킷을 캡쳐해서 분석해 보는 방법도 있을것 같습니다. 발생한 시점이 비슷하다고 하면 그 시간대에 패킷을 캡쳐해서 분석해 보는 방법도 있을것 같습니다.



회원K 2013-07 제가 관리하는 스위치가 아니라서... IDC에 요청해야 하겠네요. 제가 관리하는 스위치가 아니라서... IDC에 요청해야 하겠네요.



박문형 2013-07 같은 시간에 다른 서버가 번번히 트래픽이 올라 가는 것은 밖에서 누가 쑤신다라고 볼 수 있습니다. 방화벽을 구축하시던지 해야 할 듯합니다. 아니면 스윗치를 100매가 L3로 내려야죠 같은 시간에 다른 서버가 번번히 트래픽이 올라 가는 것은 밖에서 누가 쑤신다라고 볼 수 있습니다. 방화벽을 구축하시던지 해야 할 듯합니다. 아니면 스윗치를 100매가 L3로 내려야죠



노리 2013-07 내부 문제일수도 있으나 외부 문제일수도 있어 보입니다. 간단한게..... 한놈이 dos치는거 아닐까요? 근데...ddos라고 보기에도 1G이하면 어닌거 같기도 하고.... 요즘은 ddos도 프로그럄으로 간단히 때려줄수 있으니 문제네요. 이에 대한 대비책은 ip냐 사이트냐... 뭘로 잡혀서 치고 있는지가 문제지만 ip라면.... 사이트 도메인 이라면... 만일 이것이라면 해결책은 알고계시듯이 간단하지만 두 경우 만이 답이며 후자가 아니길 바라면 후자라면 시간만이 답으로 보이네요. 동일 사이트에서 계속 생기는 거라면 문제 일으키는 외부놈을 찾아서 역으로 공격해주세요...^^ 내부 문제일수도 있으나 외부 문제일수도 있어 보입니다. 간단한게..... 한놈이 dos치는거 아닐까요? 근데...ddos라고 보기에도 1G이하면 어닌거 같기도 하고.... 요즘은 ddos도 프로그럄으로 간단히 때려줄수 있으니 문제네요. 이에 대한 대비책은 ip냐 사이트냐... 뭘로 잡혀서 치고 있는지가 문제지만 ip라면.... 사이트 도메인 이라면... 만일 이것이라면 해결책은 알고계시듯이 간단하지만 두 경우 만이 답이며 후자가 아니길 바라면 후자라면 시간만이 답으로 보이네요. 동일 사이트에서 계속 생기는 거라면 문제 일으키는 외부놈을 찾아서 역으로 공격해주세요...^^



노리 2013-07 그러고 보니 4.5년 전인가..... 저도 ddos문제로 하루에 20-30G씩 꾸준히 3일 동안 쳐주니 idc에서 연락오고 7일 지나닌까 idc에서 나가라고 하더라고요 그것도 하루만에...... 물론 그간 서버 다운은 없었고 스위치와 백본에 부하 무지 걸렸겠죠. 이전후 나중에 원인 찾아보니 전 ip로 친 경우라 이전후 50G까지 버텨 주기로 하고 들갔는데 문제가 지금까지도 전혀 없는...... idc도 라인 좋은데를 써야 하는 이윤거 같아요. 이놈의 인터넷도 복불복인거 같습니다. 물론 나쁜 짓해서 보복 당하는 경우만 빼고요...^^; 그러고 보니 4.5년 전인가..... 저도 ddos문제로 하루에 20-30G씩 꾸준히 3일 동안 쳐주니 idc에서 연락오고 7일 지나닌까 idc에서 나가라고 하더라고요 그것도 하루만에...... 물론 그간 서버 다운은 없었고 스위치와 백본에 부하 무지 걸렸겠죠. 이전후 나중에 원인 찾아보니 전 ip로 친 경우라 이전후 50G까지 버텨 주기로 하고 들갔는데 문제가 지금까지도 전혀 없는...... idc도 라인 좋은데를 써야 하는 이윤거 같아요. 이놈의 인터넷도 복불복인거 같습니다. 물론 나쁜 짓해서 보복 당하는 경우만 빼고요...^^;



회원K 2013-07 DDoS를 치면 apache나 어디나 흔적이 남는데, 그런 것이 없습니다. DDoS를 치면 apache나 어디나 흔적이 남는데, 그런 것이 없습니다.



악땅 2013-07 IDC라면... 방화벽은당연하고 IPS나 DDOS장비들이 있을껍니다. 해당 트레픽이 IDC내부에서 외부로의 통신때문에 생긴거라면 장비에 기록이 남습니다. 로그를 확인해보시는게 좋을듯 하네요. 요즘 방화벽이라면 특정시간의 트래픽이 어디서 어디로 발생되었는지 기록이 남아있습니다. IPS도 폼은 아니니 분석 요청하시구요. 만약 해당 장비들에 이상 징후가 안보인다면 내부에서 트레픽이 발생한건데요..... 몇일만이라도 스니퍼로 패킷을 떠보시는게 해결책을 줄수 있겠습니다. IDC라면... 방화벽은당연하고 IPS나 DDOS장비들이 있을껍니다. 해당 트레픽이 IDC내부에서 외부로의 통신때문에 생긴거라면 장비에 기록이 남습니다. 로그를 확인해보시는게 좋을듯 하네요. 요즘 방화벽이라면 특정시간의 트래픽이 어디서 어디로 발생되었는지 기록이 남아있습니다. IPS도 폼은 아니니 분석 요청하시구요. 만약 해당 장비들에 이상 징후가 안보인다면 내부에서 트레픽이 발생한건데요..... 몇일만이라도 스니퍼로 패킷을 떠보시는게 해결책을 줄수 있겠습니다.



회원K 2013-07 외부에서 DDoS 들어온 것이라면 바로 전화 왔겠죠? 내부에서 트래픽이 발생할거는 전혀 없는 장비라 일단 스위치 설정 체크 요청했습니다. 외부에서 DDoS 들어온 것이라면 바로 전화 왔겠죠? 내부에서 트래픽이 발생할거는 전혀 없는 장비라 일단 스위치 설정 체크 요청했습니다.



악땅 2013-07 외부에서 들어온 이상패킷을 무조건 ddos패킷이라고 볼순 없구요 ddos외에도 여러가지 공격이 있을수도 있습니다. 장비에선 정상적으로 보이는것도 이상패킷이 있을수 있습니다. 그래서 해당 장비들의 log분석이 중요한것이지요. 일반적으로 종단워크그룹 스위치에서 설정된것은 서버와의 링크속도와 이중성밖엔 설정된것이 없습니다. 붙어있는 스위치가 L7이나 이중화를 위한 L4가 아닌이상 스위치 설정이상으로 저런 결과가 나올수는 없습니다. (설령 특수한 상황에서 L4나 L7일지라도 이런 상황의 가능성은 희박하구요) IDC에서 L7을 쓸일도 없고... 서버가 다수가 아니라면 L4도 아니겠지요 이런문제는 해당 시간에 발생된 패킷이 어디와 통신이 된건지 찾는수밖엔없습니다. 진짜 어느곳과 통신이 되어 페킷이 발생한건지 아니면 다른 이유로 허위 패킷이 발생한건지 말입니다. 모든 가능성을 열어두고 보세요. 이건 아닐꺼야 하고 확인도 안하고 배제하시면 못찾습니다. 외부에서 들어온 이상패킷을 무조건 ddos패킷이라고 볼순 없구요 ddos외에도 여러가지 공격이 있을수도 있습니다. 장비에선 정상적으로 보이는것도 이상패킷이 있을수 있습니다. 그래서 해당 장비들의 log분석이 중요한것이지요. 일반적으로 종단워크그룹 스위치에서 설정된것은 서버와의 링크속도와 이중성밖엔 설정된것이 없습니다. 붙어있는 스위치가 L7이나 이중화를 위한 L4가 아닌이상 스위치 설정이상으로 저런 결과가 나올수는 없습니다. (설령 특수한 상황에서 L4나 L7일지라도 이런 상황의 가능성은 희박하구요) IDC에서 L7을 쓸일도 없고... 서버가 다수가 아니라면 L4도 아니겠지요 이런문제는 해당 시간에 발생된 패킷이 어디와 통신이 된건지 찾는수밖엔없습니다. 진짜 어느곳과 통신이 되어 페킷이 발생한건지 아니면 다른 이유로 허위 패킷이 발생한건지 말입니다. 모든 가능성을 열어두고 보세요. 이건 아닐꺼야 하고 확인도 안하고 배제하시면 못찾습니다.



회원K 2013-07 스위치의 관리권한이 없기 때문에 (IDC 장비라서). 해주시는 이야기들에 따라서 체크 요청을 하고 있습니다. 직접적인 스위치의 확인이나 조치는 불가능한 상황이구요. 관리권을 넘겨주면 손을 떼겠다고 하시는거라... 장비의 설정을 체크요청했는데, 추가로 log 분석도 요청하겠습니다. managed 스위치의 경우에는 장비에 log가 남아 있을 수 있네요. 장비는 시스코 L2 managed 스위치로 알고 있습니다. 스위치의 관리권한이 없기 때문에 (IDC 장비라서). 해주시는 이야기들에 따라서 체크 요청을 하고 있습니다. 직접적인 스위치의 확인이나 조치는 불가능한 상황이구요. 관리권을 넘겨주면 손을 떼겠다고 하시는거라... 장비의 설정을 체크요청했는데, 추가로 log 분석도 요청하겠습니다. managed 스위치의 경우에는 장비에 log가 남아 있을 수 있네요. 장비는 시스코 L2 managed 스위치로 알고 있습니다.



권영칠 2013-07 모니터링은 어떤걸로 하시나요? 제경우에는 IDC에 VM을 포함해 20개 정도가 있는데, munin-node agent 를 서버마다 설치하고, 한곳에 munin을 설치해서 모니터링을 합니다. 그중 network 부분을 한데 모아 따로 한페이지에서 볼 수 있게 해두고 심심할때마다 열어보면서 이상 트래픽이 없나 봅니다. 그리고, 권한없는 스위치라니, IDC에 스위치의 snmp community 아이디 하나 발급요청하시고, mrtg 분석툴을 설치해서 추가적으로 모니터링 하는것도 고려해보시면 좋을듯 합니다. 모니터링은 어떤걸로 하시나요? 제경우에는 IDC에 VM을 포함해 20개 정도가 있는데, munin-node agent 를 서버마다 설치하고, 한곳에 munin을 설치해서 모니터링을 합니다. 그중 network 부분을 한데 모아 따로 한페이지에서 볼 수 있게 해두고 심심할때마다 열어보면서 이상 트래픽이 없나 봅니다. 그리고, 권한없는 스위치라니, IDC에 스위치의 snmp community 아이디 하나 발급요청하시고, mrtg 분석툴을 설치해서 추가적으로 모니터링 하는것도 고려해보시면 좋을듯 합니다.



회원K 2013-07 IDC 스위치는 사설망에 연결되어 있고, 그것의 소유와 관리를 모두 IDC에서 하는데 사용자에게 관리 권한을 넘겨주는 경우... IDC에서는 더는 손을 안댄다고 하더라구요. 그동안 별다른 일이 없어서, 특별한 네트웍 모니터링 tool은 설치를 안해뒀습니다. IDC 스위치는 사설망에 연결되어 있고, 그것의 소유와 관리를 모두 IDC에서 하는데 사용자에게 관리 권한을 넘겨주는 경우... IDC에서는 더는 손을 안댄다고 하더라구요. 그동안 별다른 일이 없어서, 특별한 네트웍 모니터링 tool은 설치를 안해뒀습니다.



권영칠 2013-07 http://munin-monitoring.org/ 이 모니터링 툴은 다른 툴들 보다 쓰기 쉽고 결과가 보기 편합니다. http://munin-monitoring.org/ 이 모니터링 툴은 다른 툴들 보다 쓰기 쉽고 결과가 보기 편합니다.



회원K 2013-07 centos 6.x에서는 yum install 이 안되네요. 소스설치를 해야 하는데... 이게 참 난감합니다. 설명서가 있는 것과 다르네요. centos 6.x에서는 yum install 이 안되네요. 소스설치를 해야 하는데... 이게 참 난감합니다. 설명서가 있는 것과 다르네요.



권영칠 2013-07 3rd party repository 추가하시면 됩니다. 일단 rpm forge 나 epel 정도는 추가해두시는게 좋습니다. 서버는 munin 설치하고 apache 설정하시고 클라이언트는 munin-node 만 설치하고 host allow 만 해두시면 됩니다. 방화벽 쓰시면 4949포트 열어두심 되고 플러그인 하나씩 링크 걸어서 해보시면 종합관리가 되실겁니다 3rd party repository 추가하시면 됩니다. 일단 rpm forge 나 epel 정도는 추가해두시는게 좋습니다. 서버는 munin 설치하고 apache 설정하시고 클라이언트는 munin-node 만 설치하고 host allow 만 해두시면 됩니다. 방화벽 쓰시면 4949포트 열어두심 되고 플러그인 하나씩 링크 걸어서 해보시면 종합관리가 되실겁니다



회원K 2013-07 CentOS에서 빠졌다고 munin에 있더라구요. 좀 난감한데... 찬찬히 해봐야죠. 3rd 파티에는 있는데. epel에는 없습니다. CentOS에서 빠졌다고 munin에 있더라구요. 좀 난감한데... 찬찬히 해봐야죠. 3rd 파티에는 있는데. epel에는 없습니다.



회원K 2013-07 == 서버에서 트래픽이 나간 것이 맞고. 스위치는 이상이 없다고 해서 서버점검 요청했고 트래픽의 출처를 못찾아서 tcp dump를 뜨기로 했습니다. 조언 감사드립니다. == 서버에서 트래픽이 나간 것이 맞고. 스위치는 이상이 없다고 해서 서버점검 요청했고 트래픽의 출처를 못찾아서 tcp dump를 뜨기로 했습니다. 조언 감사드립니다.



권영칠 2013-07 =========================================================================================================================================== Package Arch Version Repository Size =========================================================================================================================================== Reinstalling: munin-node noarch 2.0.16-1.el6 epel 401 k Transaction Summary =========================================================================================================================================== Reinstall 1 Package(s) EPEL 에 있더군요. 에이전트로 munin-node 설치하면 됩니다 =========================================================================================================================================== Package Arch Version Repository Size =========================================================================================================================================== Reinstalling: munin-node noarch 2.0.16-1.el6 epel 401 k Transaction Summary =========================================================================================================================================== Reinstall 1 Package(s) EPEL 에 있더군요. 에이전트로 munin-node 설치하면 됩니다



회원K 2013-07 감사합니다. 빠른 시일내에 OS를 밀어버리고 재설치 하려구요 IDC에서 심은 뭔가가 문제를 만든 듯 합니다. 감사합니다. 빠른 시일내에 OS를 밀어버리고 재설치 하려구요 IDC에서 심은 뭔가가 문제를 만든 듯 합니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

3424/5680

번호	제목Page 3424/5680	글쓴이	날짜	조회	추천
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1481734	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1481734 1 백메가
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4945028	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4945028 1 정은준1
45127	질문글 하나만 올립니다... (2)	데톨	2013-07	5726	0
질문글 하나만 올립니다... (2) 2013-07 5726 1 데톨
45126	HP센터 직원 분이나 보드 수리 가능한곳 아시는분?? (10)	황진우	2013-07	5694	0
HP센터 직원 분이나 보드 수리 가능한곳 … (10) 2013-07 5694 1 황진우
45125	775 시피유 밑면 저항?이 떨어지면 (4)	2CPU최주희	2013-07	5278	0
775 시피유 밑면 저항?이 떨어지면 (4) 2013-07 5278 1 2CPU최주희
45124	혹시 기술자료나 설명서.. (8)	황진우	2013-07	5054	0
혹시 기술자료나 설명서.. (8) 2013-07 5054 1 황진우
45123	intel 사이트에서 다운로드 잘 되시나요? (5)	최원시익	2013-07	4677	0
intel 사이트에서 다운로드 잘 되시나요? (5) 2013-07 4677 1 최원시익
45122	opteron 6212 + TYAN S8230GM4NR 에서 NUMA 여부. (5)	느닷	2013-07	4669	0
opteron 6212 + TYAN S8230GM4NR 에서 NUM… (5) 2013-07 4669 1 느닷
45121	음성을 텍스트파일로 변환해주는 앱이 있나요? (6)	ZEBE	2013-07	25494	0
음성을 텍스트파일로 변환해주는 앱이 있… (6) 2013-07 25494 1 ZEBE
45120	tx100 내장형 카드 리더기 장착 가능한가요? (15)	1m전	2013-07	5679	0
tx100 내장형 카드 리더기 장착 가능한가… (15) 2013-07 5679 1 1m전
45119	LTE 폰에는 802.11ac 지원 보드여야 하나요? (1)	마이코코	2013-07	4931	0
LTE 폰에는 802.11ac 지원 보드여야 하나… (1) 2013-07 4931 1 마이코코
45118	티밍이 되는 듀얼 랜 달린 mini-itx 보드는? (4)	마이코코	2013-07	7807	0
티밍이 되는 듀얼 랜 달린 mini-itx 보드… (4) 2013-07 7807 1 마이코코
45117	ems First-Class Mail International 한달째 배송이 안되는데... 어째야 할까요? 흑흑 (2)	오준호5	2013-07	7509	0
ems First-Class Mail International 한달… (2) 2013-07 7509 1 오준호5
45116	i7 920 + 쿼드로 580 vs 3630qm + gtx660m / 3D 설계용 (5)	삐돌이슬픔이	2013-07	8244	0
i7 920 + 쿼드로 580 vs 3630qm + gtx660m… (5) 2013-07 8244 1 삐돌이슬픔이
45115	안녕하세요. scsi 문의 드립니다.	길한	2013-07	5366	0
안녕하세요. scsi 문의 드립니다. 2013-07 5366 1 길한
45114	데탑보드중에 ecc 램 지원하는 보드가 있나요? (3)	읍내노는오빠	2013-07	5443	0
데탑보드중에 ecc 램 지원하는 보드가 있… (3) 2013-07 5443 1 읍내노는오빠
45113	p410 bbwc에 베터리팩 안달고 사용가능 한가요? (3)	읍내노는오빠	2013-07	6128	0
p410 bbwc에 베터리팩 안달고 사용가능 한… (3) 2013-07 6128 1 읍내노는오빠
45112	android app 질문 하나 해봅니다 (1)	회원K	2013-07	5193	0
android app 질문 하나 해봅니다 (1) 2013-07 5193 1 회원K
45111	AM3 시피유 핀이 하나 부러져서요.. (8)	2CPU최주희	2013-07	5909	0
AM3 시피유 핀이 하나 부러져서요.. (8) 2013-07 5909 1 2CPU최주희
45110	lsi 1708e & Megaraid 8708elp 펌웨어 (13)	박민혁A	2013-07	6511	0
lsi 1708e & Megaraid 8708elp 펌웨어 (13) 2013-07 6511 1 박민혁A
45109	ㄱ자 사스 케이블 어디서 구해요? (4)	강영식	2013-07	5664	0
ㄱ자 사스 케이블 어디서 구해요? (4) 2013-07 5664 1 강영식
45108	스위치의 포트에 단기적인 트래픽이 과하게 걸리고 있습니다 (21)	회원K	2013-07	6396	0
스위치의 포트에 단기적인 트래픽이 과하… (21) 2013-07 6396 1 회원K