ARP와 RARP의 실전 사용 사례

ARP와 RARP의 실전 사용 사례

필자가 근무하는 기관에서는 고정IP를 쓴다. 즉, 수동으로 IP 세팅을 하지 않으면 인터넷이 동작하지 않는다는 뜻이다. 필자가 처음 여기에 발령받고는 약 2년간 엄청난 고생을 했다. 왜냐하면, IP를 마음대로 넣는 개념없는 인간들 때문이다. 예를 들어서 A라는 사람의 IP가 172.16.15.100번인데 충돌이 나서 자기 마음대로 172.16.15.101로 고쳤다. 문제는.......... 172.16.15.101이 사용하고 있는 IP라는 것이고 실제 101번 IP의 주인이 102번으로 수정하고, 102번이 또 사용하는 IP이고....이런식으로 무한루프를 도는 것이다. 필자 또한 돌아버린다. ㅠㅠ

그래서, 필자는 특단의 조치를 내리기 시작했다. 필자가 근무하는 기관에 문서를 다 뿌렸다. IP가 충돌나면 즉시 필자에게 연락을 취할것과 마음대로 IP를 변경하다가 필자에게 적발되면  직위고하를 막론하고 무조건 인터넷 차단으로 강력하게 대응했다. 처음엔 반발도 많았다. 필자가 인터넷을 차단하는 방법은 크게 2가지가 있는데 Switch에서 mac을 drop 하는 방법과 해당 포트의 차단 (shutdown)이 있는데, 필자는 후자의 방법을 더 선호했다.

여기에서 mac drop은 해당 mac address가 그 건물안에서 동작하는 것을 막아버리는 조치로 도용한 놈만 정밀 폭격이 가능해지는데 반면 shutdown은 도용한 놈이 있는 room 자체 전체를 차단해버리는 것이다. shutdown은 훨씬 반발이 심하다.

맨날 하는 소리가 군대 안 갔다왔냐고? 연대책임 모르냐고? 하는 식으로 범인은 여기 방안에 있으니까 범인의 mac 주소 알려줄테니까 알아서 하라고..... 이런식으로 대응했다. 물론 도용 안한 사람도 같이 짤리는 방식이다. 하지만, 효과는 확실하다. 예를 들어서 10명이 있는데 1명이 IP를 도용해서 포트차단하면 10명이 다 안된다. 물론 전화온다. 그럼 mac 주소를 불러주고 그 놈때문에 차단되었으니까 알아서 하라고 했다. 약 6개월쯤 경과하니까 9명이 1명을 공격하기 시작했다.  필자가 의도하는 대로 굴러간다.

9명중의 대표가 우리가 알아서 범인을 조질테니까(?) 풀어달라고 한다. 그러면서, 온갖 조건을 다 내건다. 확연히 IP 충돌사건이 줄어들기 시작한다. 이제는 충돌나면 아예 신고하는 체제로 돌아섰다.  아싸....!!! 이게 필자가 원하는 사례이다. "이야기만 해라. 해결 해줄께" mode로 변경된다.  

신고한 사람한테서 mac 주소와 IP를 일단 받는다. 그리고, LAN선을 뽑거나 PC를 꺼달라고 요청한다.  L3에서 arp (IP를 mac으로 변환하는 프로토콜)를 이용해서 찾아본다.

L3 스위치에서 arp를 긁어봤다. 현재 사용중인 ip와 mac이 다 보인다

명령어는 Switch#show arp | include 172.16.4   이렇게 넣으면 된다. arp는 중요하니까 꼭 알아두시라. 

이렇게 arp를 긁어보면 172.16.4.0 대역을 다 긁어본다. 신고한 사람의 ip를 찾는다. " 잡았다 요놈!!!"

신고한 사람과 IP는 같은데 mac 주소가 다른것을 즉시 확인 가능하다. 도용한 놈의 mac을 L3 스위치가 정보를 가지고 있기 때문에 역추적이 가능하다. 그래서, 도용당한 사람의 LAN을 뽑아달라고한 이유가 이것 때문이다. 같이 연결되어 있으면 mac address 테이블을 찾을때 혼선이 생긴다. 그래서, 범인 빨리 잡으려면 LAN을 뽑는게 제일 빠르다.

이미지출처: 구글 (만든 사람: Comin님)

RARP를 이용해서 거꾸로 찾아내려간다.

해당 L2 스위치에 내려가서 shutdown 시키고 L3에서 mac drop 조치한다.  그럼 반드시 전화오게 되어있다. 그 실에 해당하는 포트를 shutdown 조치한다. 몽땅 다 차단완료. 얼마 안가서 바로 전화온다. 보통 5분 이내에 다 온다.

그럼, 일단 왜 차단되었는지를 설명한다. 그리고, 일단 풀어줄테니까 하면서 범인 mac을 불러준다. 그리고, 범인만 안될꺼라고 범인이 누구인지 알아서 찾으라고 한다. 다시 재적발되면 1주일 전체 차단조치 하겠다고 경고한다. 

그 이후로 부터는 IP 잘못 넣어도 인터넷 차단된다는 소문이 돌기 시작했다. 완전 필자는 저승사자인 격이 되었다. 진짜 잘못 넣어서 차단되는 경우도 많았다. 범인 잡으면 "몰랐는데요..." 가 거의 100%다. 하지만, 필자는 이야기 한다.

"만약에 니가 쇼핑몰을 운영한다고 치자. 내가 IP를 잘못 넣어서 니가 운영하는 쇼핑몰 웹서버랑 IP가 충돌이 나는 바람에 너한테 엄청난 손실이 발생했다고 가정해보자. 그럼 책임은 누가 져야할까? " 라고 거꾸로 물어본다. 그럼 범인은 당연히 필자를 지목한다.  그럼, "너 때문에 피해본 사람은 너가 책임져야 하는거 아냐?" 라고 이야기 하면 그제서야 자기의 잘못을 인정한다. 그럼 필자도 앞뒤가 꽉막힌 사람이 아니기 때문에 "죄송합니다." 한마디면 그냥 "뭐 실수할수도 있지" 하면서 바로 차단해제 들어간다. 근데, 꼭 이런 놈들이 하나씩 있다. '내가 낸데...'  그럼 나도 나다 하면서 차단해제 안해준다. 끝까지. 그러면 진짜 죽을라고 하더라. 옆 사무실에서 선로를 끌어오다가 필자한테 또 적발이 된다. 그럼 끌어온데도 같이 차단 들어간다. 그렇게 하니까 서로 경계하면서 안해주기 시작한다. 결국엔 필자가 무조건 승리한다. 필자의 가장 강력한 무기가 인터넷이니까....까불지말라. 말 안들으면 무조건 차단이다. 필자가 근무하는 기관에서는 필자의 별명은 다음 사진과 같다.

이미지 출처: 구글 (초상권땜에 모자이크 처리했다)

IP 하나 때문에 큰 문제가 발생할 수도 있기 때문에 반드시 IP 입력할때도 자기 IP가 맞는지 확인하고 천천히 입력하는 습관을 가져야한다. 아....그리고, 필자가 꼭 알았으면 하는 지식이 있다.

ARP: IP를 mac address로 변환하는 프로토콜

RARP : mac address를 IP로 변환하는 프로토콜

꼭 알아두시라. 네트워크 관리사나 정보처리기사 문제에 꼭 나오는 문제이기도 하며, 실제로 필자같은 네트워크 관리자라면 반드시 알아야하는 항목이다. 진짜 중요하다. 장애처리 (트러블 슈팅)에 있어서 반드시 사용되는 명령어니까....

그럼 오늘의 포스팅을 마친다.