요즘 집에 설치한 linux서버 패킷을 확인해 보니, 수신패킷(RX)이 drop되는 것을 확인한 뒤 패킷 캡처도구인 tcpdump를 보기 시작했습니다.

원래는 정보보안기사를 공부하면서 간단한 사용법은 알고 있었지만, 정작 dropped되고 있는 패킷이 뭔지 체크하기 위해서는 뭐를 해야 하는지 몰라 다시 책을 보게 됩니다.

책 제목은  Network Security Through Data Analysis 입니다. 

마이클 롤린스 지음, 문성건 옮김 ISBN : 978-89-6848-258-8  2016년 4월에 초판발행.

아래는 문제의 drop되는 패킷의 건수 입니다. 13922건… 대략 2초에 1건씩 발생하고 있습니다.

[root@localhost ~]# ifconfig
ens192: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.22.11 netmask 255.255.255.0 broadcast 192.168.22.255
ether 00:0c:          txqueuelen 1000 (Ethernet)
RX packets 981480 bytes 196219705 (187.1 MiB)
RX errors 0 dropped 13922 overruns 0 frame 0
TX packets 767164 bytes 204743025 (195.2 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 19 memory 0xfd3a0000-fd3c0000 

웹포트(80, 443), mysql(3306)포트를 제외하고 tcpdump를 받아 보았다.

[root@localhost ~]# tcpdump -i ens192 -s 0 -w result2 ! src port 80 && ! src port 443 && ! src port 3306
tcpdump: listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
^C862 packets captured
888 packets received by filter
24 packets dropped by kernel

tcpdump를 수행해 보니, 못보던 IP와 포트가 보입니다.

Host: 239.255.255.250:1900

M-SEARCH * HTTP/1.1^M
Host: 239.255.255.250:1900^M
Man: "ssdp:discover"^M
ST: ssdp:all^M
MX: 5^M
...
HOST:239.255.255.250:1900^M
NT:urn:schemas-upnp-org:device:InternetGatewayDevice:1^M
NTS:ssdp:alive^M
USN:uuid:-----------------------3::urn:schemas-upnp-org:device:InternetGatewayDevice:1^M
Cache-Control:max-age=120^M
Location:http://-------------:49152/rootDesc.xml^M
Server: HFR H514G F/W - 2.0.4 UPnP/1.0 miniupnpd/1.0^M
...

아마도 집에 있는 H614G모뎀이 SSDP서비스를 하기 위해 질의한 내용으로 판단됩니다.

SSDP 란 Simple Service Discovery Protocol 의 약자로 네트워크 서비스나 정보를 찾기위해서 사용하는 네트워크 프로토콜이라고 합니다.

RX패킷중에 dropped되는 놈들을 찾아야 하는데, 갈길이 멉니다.