Q.
현재 사설 IP를 사용하고 있으며, 보안 장비로 파이어월과 IDS를 운영하고 있습니다. 그런데 내부에서 어떤 PC가 툴을 이용해서 스푸핑(spoofing)된 패킷을 계속 발생시키고 있는 것 같습니다. 스푸핑 패킷이 발생하는 것은 확인했는데 어떤 PC가 이를 발생시키고 있는지 모르겠습니다. 이 PC를 찾는 방법을 알고 싶습니다.
A.
일반적으로 파이어월들은 NAT를 지원하는데 NAT를 이용하면 실시간 세션 정보를 볼 수 있습니다. 실시간 세션 정보에서 제공하는 MAC 어드레스를 확인하면 될 것 같습니다. 만약 파이어월에서 이런 정보가 보이지 않거나 파이어월이 상단에 있어서 내부단의 패킷을 확인할 수 없다면 세그먼트 단위로 확인을 해야 합니다. 스위치라면 미러링을 하고, 허브라면 그냥 스니핑하면 됩니다.
스니핑할때는 툴을 이용하면 되는데 스파이넷이라는 윈도우용 스니핑 툴도 좋습니다. 패킷스톰(http://packetstormsecurity.com)에서 ‘spynet’를 검색하면 찾을 수 있습니다. 물론 다른 툴을 사용해도 됩니다. 이런 툴을 이용해서 패킷을 많이 발생시키는 컴퓨터가 어떤 것인지 IP와 MAC을 확인하면 됩니다. IP는 출발지나 목적지가 계속 변할 수 있으므로 MAC 어드레스를 확인하는 것이 가장 좋을 듯 합니다. 이와 같이 해서 클라이언트의 MAC 어드레스를 찾았다면 해당 클라이언트를 찾아야 하는데 이것도 툴을 사용해야 합니다.
쉐어웨어인 ‘LanGuard Network security scanner’를 구해서 내부 네트워크를 검색하면 MAC 어드레스와 기타 다양한 정보 검색이 가능하며, 해당 클라이언트를 찾으실 수 있습니다. | |
