안녕하세요,
현재 내부망에서 동작중인 PC 한 대가 유휴시간에 임의로 켜지는 문제가 발생하고 있습니다.
랜선을 탈착한 상태에서는 켜지지 않는 것으로 보아 내부망에 있는 다른 PC에서 Wake-On-Lan 패킷을 전송하는 것으로 추정되나, 문제PC에 Wireshark 설치 후 장시간 모니터링해봤을 때에는 WOL 패킷이 검출되지 않았습니다.
제가 내부망 관리자가 아니기에 전체 트래픽 모니터링이 불가능하여, 아래와 같은 구조를 적용해본 상태입니다.
(내부네트워크) - (ipTIME 공유기) - (포트1: 문제PC), (포트4: 모니터링용PC)
현재 적용된 설정들은 다음과 같습니다.
(1) 문제PC의 고정 IP 설정을 ipTIME 공유기에 적용한 후, 다시 하위 네트워크에서 고정 IP 설정 적용.
ex) 내부네트워크 192.168.100.XXX와 공유기 하위 네트워크 192.168.0.XXX에 대해,
기존 고정 IP 192.168.100.A를 공유기에 적용 후, 다시 공유기에서 문제PC의 MAC에 대해 192.168.0.B로 IP 고정.
(2) 공유기에서 문제PC의 IP 192.168.0.B에 대해 DMZ 설정 적용.
(3) 공유기 포트 4번에 모니터링용PC를 연결한 후 전체 인터넷 패킷에 대한 미러링 설정 적용.
(4) 모니터링용PC에 Wireshark를 설치해 패킷 모니터링 진행.
위와 같은 설정 하에서 문제PC를 종료하고 곧바로 내부네트워크 192.168.100.C에서 192.168.100.A로 WOL 패킷을 보내면 문제PC가 켜지고 Wireshark에서도 해당 패킷이 정상적으로 캡쳐됩니다.
그러나 ipTIME 공유기의 ARP cache timeout이 5분으로 설정되어 (ipTIME 전화문의로 확인), 문제PC 종료 후 5분이 지나면 공유기의 ARP 테이블이 초기화되어 더이상 WOL 패킷이 전달되지 않습니다.
* 관련글: https://www.2cpu.co.kr/bbs/board.php?bo_table=QnA&wr_id=506383
해당 시간 이후에 WOL 패킷을 전달하고 Wireshark에서 확인해보면, 공유기 아이피인 192.168.0.1에서의 'Who has 192.168.0.B? Tell 192.168.0.1' ARP 신호만이 확인됩니다.
즉, WOL 패킷이 들어와 문제PC가 켜지고 Wireshark에서 패킷 전송 IP를 확인하는 것이 목표이나, 문제PC가 꺼진 후 5분 이후에는 목표달성이 불가능한 상태입니다.
현재 생각나는 해결책은 ipTIME 공유기를 ARP cache timeout 변경이 가능한 CISCO 라우터로 변경하거나, 멀린펌을 올려 static arp 설정이 가능한 ASUS 공유기로 변경하는 것 정도입니다.
혹시 더 간단한 방법이 있을지 조언 부탁드립니다.
감사합니다.
출발지 주소가 기록되는게 아니라 목적지 맥 주소(+비번)만 기록되는걸로 기억합니다
한마디로 네트워크 전체를 모니터링 안 하면 출발지 알 수 없을껍니다
그냥 대상 컴의 기능을 꺼버리세요
* 관련스크린샷1: https://wiki.wireshark.org/WakeOnLAN
* 관련스크린샷2: https://forums.ivanti.com/s/article/HOWTO-Troubleshoot-Wake-On-LAN-issues-with-Wireshark?language=en_US
* 관련스크린샷3: https://superuser.com/questions/1134465/how-to-send-a-magic-packet-from-linux-to-windows
다른곳에서 실수로 이걸 생성하는 경우는 거의 없을텐데요.
타겟 하드웨어의 MAC 어드레스가 여러차레 반복되는 형태라서..
그게아니라 흔히들 절전모드 복귀를 위해서 IP로 접근하려고 하는 시도를 캐치 하도록 만들었는데 원치 않는 부팅이 자주 발생한다면..
그건 네트웨크내의 다른 컴퓨터로 패킷 따 네셔도 잡을 수 있습니다. 물론 매직패킷도 마찬가지고요..
글에 언급하신것처럼 공유기의 arp 테이블은 5분 뒤 소멸하기 떄문에 해당 PC로 전달 되어서 꺠울 수 있는 패킷은 브로드캐스트 되는 패킷일 수 밖에 없어서요..
절전모드나 on/off 스케줄은 전혀 사용하지 않고 있는 상황이라, WOL 외에는 파워쪽 스파크 말고 원인을 생각하기 어려운 상태입니다.
네트워크 내 다른 PC에서 확인하는 방법은 미쳐 생각하지 못 했었는데 시도해보도록 하겠습니다. 감사합니다.
너무 많은 조건들이 얽혀있어서 하나라도 조건이 어긋나면 동작하지 않거나 오동작하게 됩니다.
컴퓨터를 켜고 끄는 다른 방법을 사용하시길 권장합니다.
이번 문제만 해결되면 해당 기능을 중지시킬 예정입니다.
저도 거의 같은 증상입니다.
공유기에 wol셋팅을 해 놓고 한번이라도 wol로 해당 PC를 켜면 부지불식간에 컴퓨터가 켜지곤 합니다. 그러다 며칠 있다보면 다시 괜찮아집니다.
다만 말씀을 들어보니 내부망 장비 문제일 가능성도 있는듯 합니다. 의견 주셔서 감사합니다.
1. 네트워크 내 다른 PC에서 모니터링하는 방식으로 문제 없이 대상 PC를 향한 WOL 패킷을 잡아낼 수 있었습니다.
2. ASUS 공유기를 중간에 물려 공유기단에서 패킷 모니터링하는 방식도 사용에 문제가 없었습니다.
공유기는 순정 상태로 DMZ 설정하여 사용하고, SSH로 접속해 static ARP 설정 후 tcpdump를 설치해 USB 포트로 패킷캡처가 가능했습니다.
다만 두 방식 모두 테스트 시에는 WOL을 잡아내는 것을 확인했는데, 정작 PC가 임의로 부팅된 때의 로그를 보면 매직패킷이 확인되지 않았습니다.
랜선 탈착 상태에서는 임의 부팅 현상이 없었기에 통신쪽 문제라고 생각했는데 랜선을 타고 스파크라도 들어왔는지 원인 파악이 어려운 상태입니다.