네트워크 상의 공격을 받는 것 같은데, 어디서부터 봐야 할지 감이 안 잡힙니다.
상황은 다음과 같습니다.
- Windows Server 취약점 공격 후 Backdoor 설치 (Scan 도구등을 통해 제거한 상태)
- Windows 서버 한대인데요, 공인망, 사설망 NIC이 2개 입니다.
- 서비스가 어려울 정도로 패킷 손실이 일어나는지 서비스 지연이 발생합니다.
- 가장 심할 땐 Ping 테스트를 해보면 30% 이상 손실 됩니다.
- 방화벽 측에서는 특이점을 찾아 볼 수 없다고 합니다.
증상은 다음과 같습니다.
- 서비스 지연 시 서버를 재 기동하면 증상은 해소 됩니다.
- Ping이 1~5%정도 빠지는 상태가 되는데, 사용자 단의 불편은 접수되지 않습니다.
- 그러다가 언제 그랬냐는 듯 멀쩡해 집니다.
- 시간이 지나면 어느 순간 또다시 Ping이 3~5%정도 빠지는 상태가 됩니다.
이럴 때 Ping Test 양상은 다음과 같습니다.
(손실이 일어나는 대역은 공인 대역 입니다.)
| Ping 테스트 실행 서버 | 대상 | 결과 |
|---|---|---|
| 문제 서버 | 공인대역 서버1 | Ping 손실 |
| 공인대역 서버2 | Ping 손실 | |
| 공인대역 자신의 IP | 정상 | |
| 사설대역 서버3 | 정상 | |
| 공인대역 서버1 | 공인대역 서버2 | 정상 |
| 공인대역 문제서버 | Ping 손실 | |
| 사설대역 문제서버 | 정상 | |
| 공인대역 서버2 | 공인대역 서버1 | 정상 |
| 공인대역 문제서버 | Ping 손실 | |
| 사설대역 문제서버 | 정상 |
증상이 심화되고, 완화되는 것이 특별한 규칙 없이 반복 됩니다.
다만, 다음 2가지는 반복적인 특징을 보입니다.
- 재기동 후나 평상 시 1~5%의 Ping 손실이 확인됩니다.
- 비 주기적으로 정상 상태가 수 시간~수 일간 유지 됩니다.
- 비 주기적으로 심각한 서비스 지연이 발생하며, 재기동 후 1번 상태로 회기 합니다.
무엇이 의심되며,
무엇을 해야 할까요?
살려주세요~~ T.T
¹«½¼¼¹öÀÎÁöµµ ¼ºñ½º´Â ¹¹°¡ ¼³Ä¡ µÇ¾úÀ¸¸ç...
ÇÏ Á¤º¸ Çϳªµµ ¾ø´Âµ¥ °á°ú¸¦ ³Ê¹« ½±°Ô ¾òÀ»·Á°í Çϴ°ÇÁö ¾Æ´Ï¸é ¶á±¸¸§ Àâ´Â ¼Ò¸®¸¸ µè°í ½ÍÀº°ÇÁö.
±Û¿¡¼ ¸»¾¸µå·È´Ù½ÃÇÇ ¹æÇâÀ» ¸øÀâ°í ÀÖ½À´Ï´Ù.
´äº¯À» Áֽñâ À§Çؼ´Â ¾î¶² Á¤º¸°¡ ÇÊ¿äÇÒ±î¿ä?
¼¹ö¸¶´Ù ¾î¶² ¹öÁ¯ÀÇ À©µµ¿ìÁî ¼¹ö ¹öÁ¯ÀÎÁöµµ ¸ð¸£°í¿ä..
µÎ zone ¸ðµÎ ÇϳªÀÇ L3¿¡ ¿¬°áµÇ¾î ÀÖ°í¿ä
L3 »ó´Ü¿¡ ¹æȺ®ÀÌ ÀÖ½À´Ï´Ù. (¹æȺ®¿¡¼´Â ¹®Á¦Á¡À» ãÀ» ¼ö ¾ø´Ù°í ÇÕ´Ï´Ù.)
³Ê¹« º¹ÀâÇÏ°Ô ½á³õ¾Ò³ª º¾´Ï´Ù.
±×³É ¼¹öÀÇ ÇÑ NIC ¶Ç´Â ÄÉÀÌºí ºÒ·®°ú ¸Å¿ì ºñ½ÁÇÕ´Ï´Ù.
´Ù¸¥ ¼¹öµéÀÌ µîÀåÇÏ´Â °Ç, ¹®Á¦ µÇ´Â ZoneÀÇ Å¸ ¼¹öµéÀº ¸ÖÂÄÇÏ´Ù¶ó´Â °É ¾Ë·Áµå¸®±â À§ÇØ ½á ³õÀº Á¤º¸ÀÔ´Ï´Ù.
º»ÀÇ¾Æ´Ï°Ô 20°í°³¸¦ ÇÏ°Ô Çصå·Á¼ Á˼ÛÇÕ´Ï´Ù.
¹«Á¶°ÇÀûÀ¸·Î º¸¾È¿øÄ¢»ó »õ·Î ½Ã½ºÅÛ Æ÷¸ËÈÄ ¼³Ä¡ÇϼžßÇÕ´Ï´Ù.
±×³É Æ÷±âÇÏ½Ã°í »õ·Î ¼ÂÆÃÇغ¸°í È®ÀÎÇغ¸¼Å¿ä
ÇöÀç ¸¶À̱׷¹À̼ÇÀÌ ÁøÇà Áß ÀÌÁö¸¸ µ¢Ä¡°¡ Ä¿¼ ¿À·¡ °É¸®°í ÀÖ½À´Ï´Ù.
´Ù¸¸, ÇöÀçÀÇ À̽´°¡ ½º´ÏÇÎ °ø°ÝÀ̶ó¸é ¸¶À̱׷¹ÀÌ¼Ç ÈÄ¿¡µµ Áõ»óÀÌ À̾îÁú °Í °°¾Æ
Áغñ¸¦ ÇصηÁ´Â °ÍÀÔ´Ï´Ù.
°ü½É °¨»çµå¸³´Ï´Ù.