포트 스캔을 실행하면 아래의 포트가 사용하는 걸로 나온다.
25smtp
110pop3
119nntp
143imap
465urd
563nntps
587submission
993imaps
995pop3s
타겟 서버에서는 실행되는 프로세스가 없다.
백도어가 있나 살펴보고, arp spoofing 인가도 살펴 봐도 아니였다.
조금 더 살펴보니 타겟 서버외에 포트스캔을 하는 모든 서버가 위의 포트가 오픈 되어있다고 나온다.
이상해서 다른 pc에서 같은 서버로 포트스캔을 해보니 정상적으로 나온다.
문제는 avast 백신이였다.
avast 백신 기능 중에는 메일 감시 기능이란게 있는데, 이게 원인이였다.
자체적으로 외부로 나가는 해당 포트를 감시하고 있다가 검사하고 내보내는 것 같다.
2017년 2월 13일 월요일
2016년 12월 12일 월요일
L2 스위치에서 포트 매핑
MRTG의 생성 할 때 골치 아픈 것중에 하나가 스위치의 각 포트별 서버가 어떤 서버인가 하는 것이다.
보통 MRTG는 스위치의 포트에 걸기 때문이다. 서버에 snmp를 설치하여 만들 수도 있지만, 서버의 접근 권한이 없는 경우도 많기 때문이다.
신입시절에는 그냥 랜선을 눈을 따라가서, 하나씩 기록하고 그걸로 등록하곤 했다.
이게 너무 불편한게 일단 IDC를 가야되고, 혼자서는 스위치와 서버에 연결된 랜선이 어떤 건지 확인하기가 매우 어렵다. 두명은 같이 가야 확인이 용이하다.
포트매핑 프로그램을 알고 나서는 한결 편해졌다. L2와 L3 스위치의 snmp 만 알면 L2스위치의 몇번 포트에 몇번 IP 가 할당되어 있는 지 바로 확인이 가능하기 때문이다.
그런데 이번에 L3 스위치가 없는 네트워크 작업이 있었다. L3가 없는 건 아니지만 IDC 소유라 접근 권한이 없다.
네트워크 작업은 L2 스위치를 교체한 것인데, 시스코의 2950 모델이다.
이것저것 알아보다 보니 스위치에서 'sh arp' 명령어가 가능 했다.
L2 스위치는 mac-address-table만 있는 줄 알았는데, 그게 아니였다.
그럼 역시 간단 하다.
arp 테이블(sh arp)의 mac과 mac-addres-table(sh mac-addres-table)의 mac 값을 비교하면 어느 포트가 어떤 아이피를 가지고 있는 지 알 수 있다.
포트 매핑 프로그램에 L3부분과 L2 부분을 같은 L2 스위치를 넣고 비교할 수도 있다.
L2의 arp 테이블에는 대개 자신의 IP와 게이트웨이에 IP 밖에 없을 것이다.
왜냐면 같은 네트워크 대역에 대해서는 물어봐 주는 사람이 없기 때문이다. 자신의 IP는 고정이라 제외하고, 포트에 물린 서버들은 통신할 때, 게이트웨이만 찾기 때문이다. 대개 외부로 나가는 연결일 것이다.
생각해보니 매핑 프로그램에서 L3란게 의미를 가지는 게 아니라 그 스위치가 게이트웨이 역할을 하기 때문에 의미가 있는 것 같다.
arp 테이블에 내가 원하는 서버의 IP를 넣어보자.
L2스위치에서 찾으려고 하는 서버의 IP에 핑을 날려보자. 그리고 arp 테이블을 확인 하면 IP가 등록되어 있을 것이다. 하위단의 서버에서 ping을 날려도 L2스위치에 등록된다.
문제는 ping을 막아 놓은 곳도 많은 게 문제인데, 이럴 때는 telnet을 이용해 보자. ping을 막아 놓은 서버가 웹서버라면 80포트는 열렸을 것이다.
해당 서버에 연결이 되었다.
그리고 다시 arp 테이블 확인하면 역시 등록이 되었다.
스위치 포트별 서버의 IP를 체크하기 위해 직접 랜선을 일일이 비교하는 작업은 안해도 된다.
보통 MRTG는 스위치의 포트에 걸기 때문이다. 서버에 snmp를 설치하여 만들 수도 있지만, 서버의 접근 권한이 없는 경우도 많기 때문이다.
신입시절에는 그냥 랜선을 눈을 따라가서, 하나씩 기록하고 그걸로 등록하곤 했다.
이게 너무 불편한게 일단 IDC를 가야되고, 혼자서는 스위치와 서버에 연결된 랜선이 어떤 건지 확인하기가 매우 어렵다. 두명은 같이 가야 확인이 용이하다.
포트매핑 프로그램을 알고 나서는 한결 편해졌다. L2와 L3 스위치의 snmp 만 알면 L2스위치의 몇번 포트에 몇번 IP 가 할당되어 있는 지 바로 확인이 가능하기 때문이다.
그런데 이번에 L3 스위치가 없는 네트워크 작업이 있었다. L3가 없는 건 아니지만 IDC 소유라 접근 권한이 없다.
네트워크 작업은 L2 스위치를 교체한 것인데, 시스코의 2950 모델이다.
이것저것 알아보다 보니 스위치에서 'sh arp' 명령어가 가능 했다.
L2 스위치는 mac-address-table만 있는 줄 알았는데, 그게 아니였다.
그럼 역시 간단 하다.
arp 테이블(sh arp)의 mac과 mac-addres-table(sh mac-addres-table)의 mac 값을 비교하면 어느 포트가 어떤 아이피를 가지고 있는 지 알 수 있다.
포트 매핑 프로그램에 L3부분과 L2 부분을 같은 L2 스위치를 넣고 비교할 수도 있다.
L2의 arp 테이블에는 대개 자신의 IP와 게이트웨이에 IP 밖에 없을 것이다.
왜냐면 같은 네트워크 대역에 대해서는 물어봐 주는 사람이 없기 때문이다. 자신의 IP는 고정이라 제외하고, 포트에 물린 서버들은 통신할 때, 게이트웨이만 찾기 때문이다. 대개 외부로 나가는 연결일 것이다.
생각해보니 매핑 프로그램에서 L3란게 의미를 가지는 게 아니라 그 스위치가 게이트웨이 역할을 하기 때문에 의미가 있는 것 같다.
arp 테이블에 내가 원하는 서버의 IP를 넣어보자.
L2스위치에서 찾으려고 하는 서버의 IP에 핑을 날려보자. 그리고 arp 테이블을 확인 하면 IP가 등록되어 있을 것이다. 하위단의 서버에서 ping을 날려도 L2스위치에 등록된다.
문제는 ping을 막아 놓은 곳도 많은 게 문제인데, 이럴 때는 telnet을 이용해 보자. ping을 막아 놓은 서버가 웹서버라면 80포트는 열렸을 것이다.
telnet SERVER_IP 80
해당 서버에 연결이 되었다.
그리고 다시 arp 테이블 확인하면 역시 등록이 되었다.
스위치 포트별 서버의 IP를 체크하기 위해 직접 랜선을 일일이 비교하는 작업은 안해도 된다.
2016년 11월 16일 수요일
PPS cfgmaker
mrtg로 pps 를 체크하는 것에 대해서 글을 썼는데,
cfgmaker로 만들고 그걸 다시 수정하는 게 번거로웠다.
cfgmaker는 perl 로 작성되어 있어서 수정이 가능하다.
그래서 target 관련 부분만 수정해서 ppscfgmaker를 만들었다.
diff로 비교해 보면 알지만 한개 라인만 수정하였다.
ppscfgmaker
확장자가 없으면 업로드가 안되서 .txt를 추가했다.
.txt 부분만 지우고 사용하면 된다.
cfgmaker로 만들고 그걸 다시 수정하는 게 번거로웠다.
cfgmaker는 perl 로 작성되어 있어서 수정이 가능하다.
그래서 target 관련 부분만 수정해서 ppscfgmaker를 만들었다.
diff로 비교해 보면 알지만 한개 라인만 수정하였다.
[root@localhost bin]# diff cfgmaker ppscfgmaker
730c730
< my $default_target_directive = "Target[$target_name]: $if_ref:$router_connect";
---
> my $default_target_directive = "Target[$target_name]: ifInUcastPkts.$if_ref&ifOutUcastPkts.$if_ref:$router_connect + ifInNUcastPkts.$if_ref&ifOutNUcastPkts.$if_ref:$router_connect";
ppscfgmaker
확장자가 없으면 업로드가 안되서 .txt를 추가했다.
.txt 부분만 지우고 사용하면 된다.
2016년 11월 8일 화요일
시스코 스위치 로그 날짜 변경 및 ntp 설정
시스코 스위치에서 로그를 볼 때, 날짜 부분이 아래와 같이 UPTIME으로 나오기 때문에 보기에 불편하다.
날짜로 변경하자.
아래 명령어로 현재 시간을 확인 가능하다.
시간이 맞지 않는다. ntp 설정을 해주어야 겠다.
동기화 상태 확인
상태가 unsynchronized 로 나오는 경우가 있는 데, 5분정도 지나서 다시 확인 하면 적용 되어 있다.
time.bora.net 에서 계속해서 요청 못하도록 막은 것 같다.
time.bora.net lookup을 못하면 네임서버 설정을 해 준다.(KT 아이피임.)
5w1d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down
날짜로 변경하자.
#conf t
(config)#service timestamps debug datetime localtime
(config)#service timestamps log datetime localtime
아래 명령어로 현재 시간을 확인 가능하다.
#sh clock
*17:26:25.762 UTC Mon Jul 9 2001
시간이 맞지 않는다. ntp 설정을 해주어야 겠다.
(config)#ntp server time.bora.net
Translating "time.bora.net"...domain server (8.8.8.8) [OK]
동기화 상태 확인
#sh ntp status
Clock is synchronized, stratum 3, reference is 203.248.240.140
상태가 unsynchronized 로 나오는 경우가 있는 데, 5분정도 지나서 다시 확인 하면 적용 되어 있다.
time.bora.net 에서 계속해서 요청 못하도록 막은 것 같다.
time.bora.net lookup을 못하면 네임서버 설정을 해 준다.(KT 아이피임.)
(config)#ip name-server 168.126.63.1
2016년 8월 5일 금요일
summit 스위치 초기화 방법
퍼온 내용. 출처 : http://lovevirus133.tistory.com/2
---------------------------------------------------------------
summit스위치를 비밀번호 분실 하여 초기화 하는 과정에서 자료를 찾아 보고 테스트 해보았다.
먼저 스위치에 콘솔로 연결 한뒤 전원플로그를 뺀다. 콘솔에서 스페이스바를 누른 상태에서 전원플로그를 다시 삽입한다.
여기서 bootrom → 이란 프롬프트가 나타날때 까지 스페이스바를 누르고 있어야 한다. bootrom →이란 프롬프트가 나타나면 h(help)를 누르면
아래와 같은 메뉴가 나타난다.
수행절차는 아래와 같다.
1. 1(primary code)을 선택한다. 그 후에 k(Erase selecte configuration)선택하여 선택된 configuration을 지운다.
2. 2(secondary code)을 선택한다 그 후에 k(Erase selecte configuration)선택하여 선택된 configuration을 지운다.
3. d(Force default configuration)을 선택한다. 그 후에 f(on board flash)를 선택하여 부팅한다.
이 절차를 마치면 패스워드를 더이상 입력 하지 않아도 된다. 스위치가 리셋 된 후에 login 프롬프트가 나타나면 admin이라고 치고, password 프롬프트가 나타나면
enter 키를 두번 치면 된다. 그럼 admin수준의 권한을 갖게 되고 다시 login과 password를 변경한 후에 저장하면 된다.
---------------------------------------------------------------
위와 같은 방법으로 admin 계정으로 로그인까지는 완료 하였으나, 패스워드 변경 후 save가 안된다. 아래의 에러 발생.
네전따 카페에서 찾은 내용.
Ware 장비에서 Limit-mode에 빠지시면 아래 순서대로 해보세요.
1. #clear log static
2. #clear log diag
- These two commands will clear the error entries in the diag and static logs due to which switch is booting in limited mode.
- Now reboot the switch.
- Then to check the reason for the switch going into limited mode, run following command:
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><?xml:namespace prefix = o />
3. #run diag extended
===========================================
4. _enableBusStatsCLI
5. sh log messages hidden-buffer
[출처] summit48si limited 모드에서 빠져나오질 않네요 (네트워크 전문가 따라잡기) |작성자 렝렝
2번까지만 실행하고 리부팅 하니까 정상적으로 저장 됐다.
---------------------------------------------------------------
summit스위치를 비밀번호 분실 하여 초기화 하는 과정에서 자료를 찾아 보고 테스트 해보았다.
먼저 스위치에 콘솔로 연결 한뒤 전원플로그를 뺀다. 콘솔에서 스페이스바를 누른 상태에서 전원플로그를 다시 삽입한다.
여기서 bootrom → 이란 프롬프트가 나타날때 까지 스페이스바를 누르고 있어야 한다. bootrom →이란 프롬프트가 나타나면 h(help)를 누르면
아래와 같은 메뉴가 나타난다.
수행절차는 아래와 같다.
1. 1(primary code)을 선택한다. 그 후에 k(Erase selecte configuration)선택하여 선택된 configuration을 지운다.
2. 2(secondary code)을 선택한다 그 후에 k(Erase selecte configuration)선택하여 선택된 configuration을 지운다.
3. d(Force default configuration)을 선택한다. 그 후에 f(on board flash)를 선택하여 부팅한다.
이 절차를 마치면 패스워드를 더이상 입력 하지 않아도 된다. 스위치가 리셋 된 후에 login 프롬프트가 나타나면 admin이라고 치고, password 프롬프트가 나타나면
enter 키를 두번 치면 된다. 그럼 admin수준의 권한을 갖게 되고 다시 login과 password를 변경한 후에 저장하면 된다.
---------------------------------------------------------------
위와 같은 방법으로 admin 계정으로 로그인까지는 완료 하였으나, 패스워드 변경 후 save가 안된다. 아래의 에러 발생.
Command not supported in limited mode
네전따 카페에서 찾은 내용.
Ware 장비에서 Limit-mode에 빠지시면 아래 순서대로 해보세요.
1. #clear log static
2. #clear log diag
- These two commands will clear the error entries in the diag and static logs due to which switch is booting in limited mode.
- Now reboot the switch.
- Then to check the reason for the switch going into limited mode, run following command:
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><?xml:namespace prefix = o />
3. #run diag extended
===========================================
4. _enableBusStatsCLI
5. sh log messages hidden-buffer
[출처] summit48si limited 모드에서 빠져나오질 않네요 (네트워크 전문가 따라잡기) |작성자 렝렝
2번까지만 실행하고 리부팅 하니까 정상적으로 저장 됐다.
2016년 1월 19일 화요일
cisco arp timeout 변경
서버 아이피를 변경시 바로 적용 되지 않는 다.
이유는 스위치에 arp 테이블에서 서버의 맥주소와 ip 주소를 매핑해서 가지고 있는 ARP 테이블이 있기 때문이다.
cisco 의 arp 테이블 관련 내용은 아래와 같다.
기본 값은 14400 초(4시간)
스위치에서 확인.
출처
이유는 스위치에 arp 테이블에서 서버의 맥주소와 ip 주소를 매핑해서 가지고 있는 ARP 테이블이 있기 때문이다.
cisco 의 arp 테이블 관련 내용은 아래와 같다.
#seconds 부분은 Input 값
#arp 캐시를 가지고 있는 시간.변경
arp timeout seconds
#삭제
no arp timeout seconds
#직접 캐시 삭제
clear arp-cache
기본 값은 14400 초(4시간)
스위치에서 확인.
Reno_Backbone#sh interfaces
Vlan1 is down, line protocol is down
Hardware is Ethernet SVI, address is 001b.d5b6.27bf (bia 001b.d5b6.27bf)
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
...
출처
2012년 11월 7일 수요일
L4 로드밸런싱 구성후 속도 느린 현상
Nortel Application Switch 3408 과 시스코 2950 스위치를 이용하여 로드밸런싱으로 구성하였다.
대체적으로 문제는 없는 데, 클라이언트 측에서 홈페이지 속도가 느리다고 함.
우리 사무실은 빠름..ㄷㄷ;
일단 예전의 기억을 더듬어 스위치의 Speed 와 duplex 확인.
업링크 포트인 24번 포트가 Duplex 가 Half로 잡혀 있음.. ㄷㄷ;
일단 Half를 Full로 설정 함.
이때 잠깐 네트워크 다운 됬다 올라오는 데, 네트워크가 죽어버린 줄 알고 식겁함. ㄷㄷ;
설정 완료하고, 클라이언트 측에 연락.
빨라 졌다고 하는 데, 내 컴퓨터에서는 원래부터 빨라서, 이거 문제인지 애매함.
2012.12.03 추가
사용자가 늘어나니 느려지는 현상 발생.
서버쪽에는 로드가 많지 않음.
스위치 로그 확인.
duplex mismatch discovered on FastEthernet0/24 (not half duplex), with Reno_Backbone GigabitEthernet6/18 (half duplex).
L4쪽 포트외에 백본 스위치의 포트 역시 맞춰줘야 했음.
L4와 L2간에는 is experiencing errors
대체적으로 문제는 없는 데, 클라이언트 측에서 홈페이지 속도가 느리다고 함.
우리 사무실은 빠름..ㄷㄷ;
일단 예전의 기억을 더듬어 스위치의 Speed 와 duplex 확인.
업링크 포트인 24번 포트가 Duplex 가 Half로 잡혀 있음.. ㄷㄷ;
일단 Half를 Full로 설정 함.
이때 잠깐 네트워크 다운 됬다 올라오는 데, 네트워크가 죽어버린 줄 알고 식겁함. ㄷㄷ;
설정 완료하고, 클라이언트 측에 연락.
빨라 졌다고 하는 데, 내 컴퓨터에서는 원래부터 빨라서, 이거 문제인지 애매함.
2012.12.03 추가
사용자가 늘어나니 느려지는 현상 발생.
서버쪽에는 로드가 많지 않음.
스위치 로그 확인.
duplex mismatch discovered on FastEthernet0/24 (not half duplex), with Reno_Backbone GigabitEthernet6/18 (half duplex).
L4쪽 포트외에 백본 스위치의 포트 역시 맞춰줘야 했음.
L4와 L2간에는 is experiencing errors
2012년 10월 11일 목요일
L2 스위치 포트별 아이피 찾기 프로그램 (포트매핑)
L2 스위치에선 포트별 아이피를 찾을 수 없는 데, 이걸 L3장비와 연계하여 찾는 프로그램(포트매핑)을 만들어 봤다.
포항공과대학의 김은희님이 쓰신 논문이 유용한 자료가 되었다.
해당 논문에서 처럼 제대로 된 프로그램으로 만들고 싶지만, 이미 상용프로그램이 많은 상황에서 그정도의 퀄리티를 뛰어넘을 자신도 없고, 그냥 구현 해 본데에 의의를 둔다.
이미 상용으로 솔라윈즈나 OpUtils 등에 해당 기능이 포함되어 있다.
솔라윈즈의 switch port mapper 프로그램과 비교하여 보니, 정확히 비슷하진 않지만, 얼추 맞는 것으로 보인다.
문제 있을 수 있는점.
1. vlan 별로 별도 지정이 안되있어서, vlan을 추가한 L2장비에서는 어떻게 될 지 모르겠다.
2. 구글 검색하다가 보게 된건데, 시스코외의 장비에서는 조금 다른 MIB 를 사용하고 있는 것 같다.(표준MIB라고 해서 사용하기 했는 데, 잘 모르겠다.)
ps.
php 를 통해 구현했는데, 보통 호스팅으로 사용하는 서버에는 snmp 내장함수가 설치되어 있지 않다.
DEMO
다운로드
포항공과대학의 김은희님이 쓰신 논문이 유용한 자료가 되었다.
해당 논문에서 처럼 제대로 된 프로그램으로 만들고 싶지만, 이미 상용프로그램이 많은 상황에서 그정도의 퀄리티를 뛰어넘을 자신도 없고, 그냥 구현 해 본데에 의의를 둔다.
이미 상용으로 솔라윈즈나 OpUtils 등에 해당 기능이 포함되어 있다.
솔라윈즈의 switch port mapper 프로그램과 비교하여 보니, 정확히 비슷하진 않지만, 얼추 맞는 것으로 보인다.
문제 있을 수 있는점.
1. vlan 별로 별도 지정이 안되있어서, vlan을 추가한 L2장비에서는 어떻게 될 지 모르겠다.
2. 구글 검색하다가 보게 된건데, 시스코외의 장비에서는 조금 다른 MIB 를 사용하고 있는 것 같다.(표준MIB라고 해서 사용하기 했는 데, 잘 모르겠다.)
ps.
php 를 통해 구현했는데, 보통 호스팅으로 사용하는 서버에는 snmp 내장함수가 설치되어 있지 않다.
DEMO
다운로드
2011년 11월 15일 화요일
알테온 3804 [로드밸런싱 설정시 느려지는 접속이 잘 안되는 현상.]
알테온 3804를 이용한 로드밸런싱을 구축하였다.
예전 config설정을 사용하는 거라 크게 문제는 없을 거라 생각하였다.
설정을 다 마치고 테스트를 하는 데, 웹페이지가 뜨는 곳이 있고, 안뜨는 곳이 있는 현상이 발생하였다.
원인은 새로 추가하는 서버들에대해서는 L4스위치 바로 밑에 L2스위치를 놓고 연결하여 문제가 되지 않았지만, 기존에 사용하였던 장비들은 L4밑에 있지 않았는데, health check에서는 살아있는 걸로
나와 그냥 셋팅 하였던게 문제였다.
해당 서버들을 disable 시켜 놓고 테스트 하니, 정상적으로 접속 되는 것 확인 했다.
해당 서버들의 물리적인 랜선을 L4 밑 L2 스위치에 넣고 enable 하니 정상적으로 동작 했다.
예전 config설정을 사용하는 거라 크게 문제는 없을 거라 생각하였다.
설정을 다 마치고 테스트를 하는 데, 웹페이지가 뜨는 곳이 있고, 안뜨는 곳이 있는 현상이 발생하였다.
원인은 새로 추가하는 서버들에대해서는 L4스위치 바로 밑에 L2스위치를 놓고 연결하여 문제가 되지 않았지만, 기존에 사용하였던 장비들은 L4밑에 있지 않았는데, health check에서는 살아있는 걸로
나와 그냥 셋팅 하였던게 문제였다.
해당 서버들을 disable 시켜 놓고 테스트 하니, 정상적으로 접속 되는 것 확인 했다.
해당 서버들의 물리적인 랜선을 L4 밑 L2 스위치에 넣고 enable 하니 정상적으로 동작 했다.
피드 구독하기:
글 (Atom)