전용 루트 서버가 있습니다. iftop의 255.255.255.255에서 이상한 연결을 발견했습니다. 그래서 조사해 보려고 했습니다. 다음 명령을 실행했습니다.
tcpdump -i eth0 ether broadcast and ether multicast
여기에서는 초당 약 100개의 요청을 받고 있습니다.
16:21:13.174056 ARP, Request who has ****** tell ***** length 46
16:21:13.174406 ARP, Request who has ****** tell ***** length 46
16:21:13.174717 ARP, Request who has ****** tell ***** length 46
16:21:13.175351 ARP, Request who has ****** tell ***** length 46
16:21:13.175772 ARP, Request who has ****** tell ***** length 46
16:21:13.175923 ARP, Request who has ****** tell ***** length 46
16:21:13.250028 ARP, Request who has ****** tell ***** length 46
16:21:13.261960 ARP, Request who has ****** tell ***** length 46
16:21:13.334608 ARP, Request who has ****** tell ***** length 46
16:21:13.360883 ARP, Request who has ****** tell ***** length 46
16:21:13.361910 ARP, Request who has ****** tell ***** length 46
16:21:13.361919 ARP, Request who has ****** tell ***** length 46
16:21:13.363287 ARP, Request who has ****** tell ***** length 46
16:21:13.363297 ARP, Request who has ****** tell ***** length 46
16:21:13.365008 ARP, Request who has ****** tell ***** length 46
16:21:13.462835 ARP, Request who has ****** tell ***** length 46
16:21:13.464375 ARP, Request who has ****** tell ***** length 46
16:21:13.464954 ARP, Request who has ****** tell ***** length 46
16:21:13.565233 ARP, Request who has ****** tell ***** length 46
16:21:13.566120 ARP, Request who has ****** tell ***** length 46
16:21:13.567008 ARP, Request who has ****** tell ***** length 46
제가 보기엔 이게 정상이 아닌 것 같아요. 다양한 IP 주소로부터의 요청이 많습니다. 다음은 예입니다(도메인 이름이 검열되었습니다).
16:21:13.334608 ARP, Request who has mysql.example.com tell web1.example.com length 46
따라서 web1.example.com은 Machine/Mac-Adress가 호스트 이름 mysql.example.com을 담당하는 요청을 보냅니다. 내 말이 맞다면 이제 ARP 스푸핑을 수행하고 web1.example.com에 내 서버가 mysql.example.com을 담당한다고 알릴 수 있습니다. 따라서 이는 중간자 공격입니다...
한 공급자의 한 서버에서만 이 문제가 발생합니다. 나는 이전에 그런 경험을 한 적이 없습니다. 내 동료들은 또한 이것이 데이터 센터의 라우터/스위치의 보안 위험/잘못된 구성이라고 생각합니다.
다음 이상한 점: 명령을 실행할 때
arp
매개변수 없이 20개의 서로 다른 호스트 이름과 MAC 주소 목록을 얻었습니다.
다른 공급자에도 다른 서버가 있습니다. 다른 서버에서 이 명령을 실행하면 ARP 요청이 전혀 수신되지 않고, 매개 변수 없이 arp를 실행하면 내 컴퓨터만 볼 수 있습니다. 그렇다면 여기서 정확히 무슨 일이 일어나고 있는 걸까요?
답변1
255.255.255.255는 놀라운 일이 아니며 다양한 프로토콜에서 사용되는 IPv4 브로드캐스트 주소입니다. ARP 스팸은 네트워크 문제가 있을 때 발생할 수 있습니다. 또는 정상적인 상황에서 어떤 IP 주소(게이트웨이 라우터인지?)와 해당 구성을 알지 못한 채 트래픽이 악성일 수도 있고 아닐 수도 있습니다. 네트워크 팀에 문의하시겠습니까?
ARP 스푸핑은 로컬 서브넷에 악의적인 사람이 있는 경우 문제가 될 수 있지만 적절한 네트워크 기술(802.1X 또는 특정 MAC를 특정 네트워크 포트에 고정)을 사용하면 완화할 수 있습니다. 그러나 이것은 네트워크 문제에 더 가깝습니다. Unix 측에서는 정적 arp 항목을 생성하는 것이 가능하지만 네트워크 그룹이나 다른 팀과 협력하지 않으면 예상치 못한 손상이 발생할 수 있습니다.
arp어떤 방식으로든 시스템과 채팅 중인 호스트가 표시되며, 시스템이 아무것도 표시하지 않으면 브로드캐스트 스팸이 흔하지 않은 서브넷(예: 서비스가 잠겨 있으므로 서버 전용 네트워크)에 있을 가능성이 높습니다. 동적 DNS 등이 없음) 또는 VM의 네트워크 연결 방식으로 인해 브로드캐스트 트래픽으로부터 보호되는 VM일 수 있습니다.