최근에 나는 내 라우터(Linux 상자)가 스팸 발생이나 유사한 품질을 위한 봇으로 사용될 수 있다는 의심을 자주 했습니다. 왜냐하면 내가 실수로 내 iptables 규칙을 잘못 구성했을 수도 있기 때문입니다. (이제 이 문제가 해결되었다고 생각합니다.)
상자를 살펴보며 어디에 문제가 있는지 알아내려고 노력하던 중, 내부(eth0) 및 외부(eth1, ppp0) 인터페이스에서 주고받은 패킷 수에 대한 데이터가 때때로 크게 일치하지 않는 것을 발견했습니다. 라우터 자체는 내가 지시하지 않는 한(apt-get 등을 사용하여 업데이트) 중요한 외부 트래픽을 생성해서는 안 되며, 내부(eth0) 인터페이스의 약간 다른 숫자는 ssh를 통해 로그인할 때 발생합니다. 그런데 제 경우에는 외부 인터페이스(내부 인터페이스가 아님)에 큰 숫자가 있어서는 안 되겠죠? 내 질문은 다음과 같습니다.
ifconfig의 출력을 보고 내 라우터가 봇으로 사용되고 있는지 알 수 있습니까? 숫자가 (적어도 대략적으로) 여기에 표시된 것과 일치해야 합니까?
답변1
나는 이 카운터( eth0, eth1)가 레이어 2 데이터를 참조한다고 가정합니다. 따라서 eth1트래픽은 ppp0트래픽에 PPPoE 오버헤드를 더한 것입니다.
또한 이더넷 전송은 충돌하고(출력에 표시됨) 가상 인터페이스 트래픽은 충돌하지 않습니다.
트래픽 증가의 또 다른 원인은 MSS 처리(TCP용)입니다. 즉, 라우터는 뒤에 있는 네트워크가 아직 보내지 않은 ICMP 패킷을 보냅니다.
시스템이 남용(스팸)되는 경우 그 차이는 엄청납니다(카운터가 변조되지 않은 경우).