Indescribable Place
ARP 스푸핑으로 의심되던 현상 본문
테스트 서버에 갑자기 핑도 안되고 접근이 안되는데, 같은 랙에 있는 다른 서버에는 접근이 되어서 우회해서 접속해서 로그를 보니 이런식의 메시지가 길게 찍혀있었다.
Aug 22 17:36:05 hostname kernel: arp: 1.1.1.1 moved from 02:e0:52:* to 00:24:1d:* on em0
Aug 22 17:36:05 hostname kernel: arp: 1.1.1.1 moved from 02:e0:52:* to 00:24:1d:* on em0
Aug 22 17:36:05 hostname kernel: arp: 1.1.1.1 moved from 00:24:1d:* to 02:e0:52:* on em0
Aug 22 17:36:27 hostname kernel: arp: 1.1.1.1 moved from 02:e0:52:* to 00:24:1d:* on em0
Aug 22 17:36:27 hostname kernel: arp: 1.1.1.1 moved from 00:24:1d:* to 02:e0:52:* on em0
이것이 말로만 듣던 arp 스푸핑인가? 하고 이것저것 조사를 해봤으나 진전은 없었는데, IDC에 문의한 결과 같이 물려있던 윈도우서버 하나가 (우리꺼 아님) 해킹당해서 그쪽에서 뭔가 이상한 짓을 하고 있던 거였다. 역시 윈도우서버는 보안패치 열심히 해야함...