요즘 집에 설치한 linux서버 패킷을 확인해 보니, 수신패킷(RX)이 drop되는 것을 확인한 뒤 패킷 캡처도구인 tcpdump를 보기 시작했습니다.
원래는 정보보안기사를 공부하면서 간단한 사용법은 알고 있었지만, 정작 dropped되고 있는 패킷이 뭔지 체크하기 위해서는 뭐를 해야 하는지 몰라 다시 책을 보게 됩니다.
책 제목은 Network Security Through Data Analysis 입니다.
마이클 롤린스 지음, 문성건 옮김 ISBN : 978-89-6848-258-8 2016년 4월에 초판발행.
아래는 문제의 drop되는 패킷의 건수 입니다. 13922건… 대략 2초에 1건씩 발생하고 있습니다.
[root@localhost ~]# ifconfig
ens192: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.22.11 netmask 255.255.255.0 broadcast 192.168.22.255
ether 00:0c: txqueuelen 1000 (Ethernet)
RX packets 981480 bytes 196219705 (187.1 MiB)
RX errors 0 dropped 13922 overruns 0 frame 0
TX packets 767164 bytes 204743025 (195.2 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 19 memory 0xfd3a0000-fd3c0000
웹포트(80, 443), mysql(3306)포트를 제외하고 tcpdump를 받아 보았다.
[root@localhost ~]# tcpdump -i ens192 -s 0 -w result2 ! src port 80 && ! src port 443 && ! src port 3306 tcpdump: listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes ^C862 packets captured 888 packets received by filter 24 packets dropped by kernel
tcpdump를 수행해 보니, 못보던 IP와 포트가 보입니다.
Host: 239.255.255.250:1900
M-SEARCH * HTTP/1.1^M Host: 239.255.255.250:1900^M Man: "ssdp:discover"^M ST: ssdp:all^M MX: 5^M ... HOST:239.255.255.250:1900^M NT:urn:schemas-upnp-org:device:InternetGatewayDevice:1^M NTS:ssdp:alive^M USN:uuid:-----------------------3::urn:schemas-upnp-org:device:InternetGatewayDevice:1^M Cache-Control:max-age=120^M Location:http://-------------:49152/rootDesc.xml^M Server: HFR H514G F/W - 2.0.4 UPnP/1.0 miniupnpd/1.0^M ...
아마도 집에 있는 H614G모뎀이 SSDP서비스를 하기 위해 질의한 내용으로 판단됩니다.
SSDP 란 Simple Service Discovery Protocol 의 약자로 네트워크 서비스나 정보를 찾기위해서 사용하는 네트워크 프로토콜이라고 합니다.
RX패킷중에 dropped되는 놈들을 찾아야 하는데, 갈길이 멉니다.