ASR9K 2016-12

공유기 내부단에서 발생한 ICMP Flood 공격이면...
해당 MAC을 조회해서 PC의 바이러스 또는 웜을 치료해야 할것이며,
외부에서 공격이면 ICMP request에 대해 응답을 주지 않도록 공유기에서 설정하면 될것 같습니다.
우선 공격지의 Source IP 부터 확인이 필요해 보입니다.

제가 질문의 요지를 잘못 이해했네요...공유기에서 -> PC로 ICMP Flood를 보낸다는 말씀이시죠?
그게 백신이 깔린 PC의 LOG에 보인다는 거구요~

악마라네 2016-12

네. 백신이 깔린 PC에서 Alert 가 뜹니다.

공유기가 PC로 ICMP Flood를 보내는게 맞습니다.

ASR9K 2016-12

개인적인 의견입니다만, 공유기에 물린 또 다른 PC에서 느려지는 경우나, 다른 특이 사항이 없다면,
해당 백신에서 오탐일 가능성이 커 보입니다.
아니면, 백신이 민감해서 공유기에서 주기적으로 ICMP를 이용해서 단말을 Discovery 하는 경우를 예상해 봤을때
이것을 ICMP Flood로 인식할 수 있지도 않을까 생각됩니다.
공유기의 ICMP 옵션값이 있다면..해당 값을 OFF시키거나 .Discovery 주기를 늘려서 모니터링을 해 보는것도 좋겠습니다.
 
가장 확실한 방법은 포트 미러링을 떠서 확인해 보는게 좋습니다.
>> 공유기에서 백신이 깔린 PC의 포트와 다른 포트로 ICMP 패킷 사이즈와 ICMP 패킷을 보내는 주기를
확인해 보면 뭔가 답이 나올것 같습니다.
적고보니 명확한 답변이 안되었네요...^^