sun's longitude:242 14 18.80 
· 자유게시판 · 묻고답하기 · 알파문서 · RPMS list
· 사용자문서 · 팁/FAQ모음 · 리눅스Links · 자료실
· 서버정보 · 운영자 · Books/FAQ · FreeBSD
/board/read.php:소스보기  

질문과 답변 게시판입니다.

현재 실시간으로 이곳 서버의 설정파일(몇개)를 보여주고 있습니다.
서버의 설정내용에 관한 질문은 먼저 이곳 서버의 설정내용을 참고하시길 바랍니다.
[*** 쓰기 금지단어 패턴 ***]
글 본문 중간에 업로드할 이미지를 추가하는 방법 : @@이미지이름@@
ex) @@foo.gif@@
2676 번 글의 답장글: Re: udp_flooding 공격에 대한 대처 방안.
글쓴이: 산이 [홈페이지] 글쓴날: 2007년 06월 15일 16:31:48 금(오후) 조회: 2750 
[희심금강]님이
 남기신 글:

>-----------------------------------------
>답변자가 기본적으로 참고할 내용입니다.
>- 배포판(옵션)    : 
>- 커널버전(옵션)
  : 
>- 데몬버전(예:apache
 1.3.27) : 
>- 데몬설치유형(RPM/컴파일/기타)
 : 
>-----------------------------------------
>
>저희 서버 하나가 udp_flooding 공격을 당했습니다.
>
>갑자기 ssh 접속이 느려지고 데몬이 죽어서 혹시나 했는데
역시나
>
>메일을 보니 22번 포트로 대량의 패킷을 보내고 있다는
관제센터의
>경고문이 왔더군요.
>
>
>제가 취한 조취 사항입니다.
>
>우선 스위치에서 22번 포트를 차단시키려고 
>스위치 접속하려 했으나
>비번 몰라서 포기(짬밥이 딸려서)
>
>우선 22번 포트로 공격이 들어오는 거니까 22번 포트를
막았습니다
>
>iptables -A INPUT -P tcp --dport 22 -j DROP
>이렇게 했습니다.
>
>효과 전혀 없음
>서비스는 안되고 서버에서는
>printk: xxxx messages suppressed.
>이런메세지가 계속 서버에서는 출력되고
>
>돌아 버리기 일보 직적이었어요.
>
>
>보시면 100메가 가량의 패킷이 쏟아져 들어오고
있습니다.
>
>그런데 파란색이 out로 되어 있음
>iptables -A OUTPUT -P tcp --dport 22 -j DROP
>물론 효과 전혀 없었습니다.
>
>그냥 22번 포트의 서비스를 막아버렸음
>
>netstat -nlp
>22번 포트가 내려져 있는것을 확인
>
>역시 효과 전혀 없음
>
>관제센터에 전화해서 공격하는 ip리스트를 받아서(600여개나
 됨)
>iptables로 전부 막아버림
>
>서비스가 정상적으로 된것 확인 (제 조치때문인지 공격을
멈춰서였는지
>확인 불가)
>
>==================================================================
>
>이제 질문 드리겠습니다.
>
>보시는 바와 같이 udp_floodig 공격이 들어오면 효과적인
>대처법이 어떻게 되나요?
>

스위치쪽에서 막아주는게 제일 효과적입니다.
그외에 서버단 방화벽(iptables)이
 그 대안이죠.

>사실 아이피리스트 막는것이 효과가 있으려면 
>iptables로 포트를 막았을때 효과를 봐야 했습니다.
>나중에 아이피 막은것은 그냥 악으로 깡으로 할일
없어서
>막은것입니다.

>
>그리고 외부에서 패킷이 들어오는데
>왜 파란색 그래프는 out으로 되어 있지요?


위의 MRTG 는 스위치에서 뽑은 downlink 의 그래인것 같습니다.
downlink 와 uplink 색깔이 반대입니다(그러나
 MRTG 에서 바꿀 수 있음).

스위치가 downlink 가 기준이므로 스위치 입장에서 out 은 'to server'
이고 이 의미는 서버쪽에 패킷이 들어온다는 뜻입니다.
그 반대로 in 은 'from server' 의 의미로 서버에서 패킷이 나간다는
뜻입니다.


>
>ssh의 포트 번호를 나중에는 아예 바꿔버렸습니다.

>이것도 효과가 있는것인요..
>

iptables 로 사용하지 않은 udp 포트를 전부 막아보세요
(UDP / 53, 161, 타임서버포트, ....은 제외)


  ${IPTABLES} -A INPUT  -m state --state INVALID -j DROP
  ${IPTABLES} -A OUTPUT -m state --state INVALID -j DROP

  ${IPTABLES} -A INPUT  -p tcp --dport 53    -m state --state NEW,ESTABLISHED  -j
ACCEPT
  ${IPTABLES} -A INPUT  -p udp --dport 53    -j ACCEPT

  ${IPTABLES} -A INPUT  -p udp   --sport 53   -j ACCEPT
  ${IPTABLES} -A INPUT  -p udp   --sport 161  -j ACCEPT

  ${IPTABLES} -A INPUT  -p udp   -j DROP


>공격이 들어온지 며칠되었습니다.
 여러가지로 공부를 했습니다만
>뚜렷한 해결책을 발견 못했습니다..
>
>그럼 즐겁고 좋은 하루 보내세요.. 

========================================

 
이전글 : udp_flooding 공격에 대한 대처 방안.
다음글 : CentOS dovecot문제  		  from 211.212.249.68
JS(Redhands)Board 0.4 +@
udp_flooding 공격에 대한 대처 방안. CentOS dovecot문제
인쇄용 

apache lighttpd linuxchannel.net 
Copyright 1997-2024. linuxchannel.net. All rights reserved.

Page loading: 0.01(server) + (network) + (browser) seconds