최근 KT 인터넷 사용자들이 일부 HTTPS 사이트 접속시 TCP Reset 패킷을 전송받아 사이트에 접속하지 못하는 사태가 벌어지고 있다. 이유는 보안 장비에서 TLS Handshaking에 필요한 Client Hello 패킷을 가로채 SNI 필드를 확인하여 Black List에 포함된 사이트라면 Reset 패킷을 보내는 일이 벌어지고 있기 때문이다.


이를 회피하기 위해 VPN, DNS over HTTPS, ESNI, DPI 무력화(GoodbyeDPI) 등 다양한 노력이 이루어지고 있는 것으로 알고 있다. 그 중 한가지가 바로 MTU 값 조절이다.


MTU는 Maximum Transmission Unit의 약자로 이더넷 전송 패킷의 최대 크기(Bytes)를 의미한다. 이 MTU 값을 500 이하로 조절하면 DPI를 우회할 수 있다는 소문이 있다. 실제로 우회가 되는지는 잘 모르겠다. 참고로 인프라 엔지니어들은 iscsi storage나 DB interconnect 등에 MTU 값을 9000으로(점보프레임) 올려서 사용해본 경험이 있을 것이다.


윈도우에서 MTU를 조절하는 방법은 예전에 포스팅한 적이 있다.


2012/01/18 - [윈도우 일반] - 윈도우 netsh 명령어로 MTU 값 변경하기


하지만 커맨드라인에 익숙하지 않은 일반 초보 사용자들을 위해 배치파일을 만들어보았다.


mtu_changer.cmd


위 파일을 다운로드 후 우클릭 해서 관리자 권한으로 실행하면 된다. 변경할 장치의 색인 번호와 원하는 MTU 값을 입력하고 y를 누르면 변경된다.



MTU를 너무 낮게 잡으면 인터넷 속도가 많이 느려질 수 있기 때문에 필요한 목적을 달성한 후에는 다시 기본 값인 1500으로 되돌리는걸 권장한다.


아마 조만간 이 방법도 더 강력한 보안 장비가 도입되면 막히지 않을까? 믿거나 말거나 필자는 그런 사이트에 접속해본 적도 없고 관심도 없지만, IT에 종사하는 입장에서 순수 기술적 호기심으로 배치파일을 만들어 보았다.


  • 2019. 02. 07. - 일부 576 이하 입력 안되는 환경을 위해 minmtu 값을 352로 수정하는 내용 추가
Tag : , , , , ,
  1. ㅇㅇ
    2019.02.16 14:39

    감사합니다. xp는 지원안되나요? 색인 번호를 찾을수 없다고 나오는데

    • BlogIcon snoopybox
      2019.02.16 23:12 신고
      수정 및 삭제

      배치파일 만들때 윈도우 XP는 고려 대상이 아니었습니다만... XP 설치해서 테스트 해보겠습니다.

    • BlogIcon snoopybox
      2019.02.16 23:31 신고
      수정 및 삭제

      XP는 지원 못하겠습니다. netsh을 사용하려면 Routing and Remote Access 서비스를 구동해야 하고, netsh 결과 출력 형식도 완전히 달라서 굳이 XP를 지원하기 위해 배치파일을 수정하려면 많은 시간이 소요될 것 같습니다.

  2. xsae
    2019.02.17 01:25

    저는 576 미만으로 입력하면 매개변수가 틀리다는 메시지가 나오네요.

    • BlogIcon snoopybox
      2019.02.17 20:02 신고
      수정 및 삭제

      제가 테스트한 OS에서는 500 이하도 문제 없이 입력되었는데, 환경에 따라 minmtu 값의 영향을 받나보네요.
      minmtu 값을 352로 변경하도록 수정해 두었습니다.