펄 스크립트로 짜여진 udp flood 공격을 감행을 하는 경우가 있습니다., 보통 이런한 패킷 생성 스크립트들은 패킷이 생성이 되면 해당 네트워크 대역을 전부 소모해 버리거나 사용을 할수 없게 만들어 버립니다.

그래서 보통 한 네트워크에서 다른 서버와 같이 사용을 한다면 조심을 해야 겠습니다. 보통 이러한 유틸리티는 인터넷 보안 전문 웹싸이트에서 소스가 공개가 되어 있으며 특히 다음과 같이 보여집니다.




우선 udp flooding 공격을 받으면 다음과 같은 증상이 일어납니다.

  • 우선 해당 네트워크 대역에 웹싸이트가 접속이 안됩니다.
  • 실제 서버가 다운된 것처럼 느껴 집니다.
  • 터미널 서비스, ssh 접속이 불가합니다.
  • 네트워크 대역폭을 모두 사용합니다.
  • 네트워크에 다른 서버가 있다면 다 같이 웹접속이 안됩니다.

이러한 udp flood는 결국 트래픽을 발생시켜 DDoS 공격이 되어 버립니다. 특히 이럴경우에는 서버 내부에 설치가 되어 인바운드 공격보다는 아웃바운드 공격으로 내부에서 외부로 다량의 트래픽이 발생이 됩니다.

인터넷에 검색을 해 보니까 이럴 경우에는  다음과 같이 관리를 하시면 되겠습니다.

# netstat -an
# find /usr/local/apache/domlogs -print | xargs grep xxx.pl
# find / -name xxx.pl
# ps -aux|grep perl



로 점검을 해 보시구요...보통 /var/tmp 디렉토리나 /tmp 디렉토리에 해당 펄 스크립트가 있는 경우가 많습니다. 쨉싸게 지워 주어야겠지요..

이럴 경우 보통 웹해킹으로 인하여 방화벽 밑단에 위치 한다하더라도 소용이 없습니다. 그것은 방화벽에서 80포트를 사용하는 웹포트를 오픈하기 때문에 그렇습니다. 방화벽이 있다하더라도 아무런 소용이 없게 되는 것이지요..따라서 공개 게시판을 사용을 한다면 특히 업로드 값을 체크를 하여 실행파일이나 기타 위험한 확장자 같은 경우는 필터링이 될수 있도록 소스를 수정하셔야 합니다.

또한 시스템 관리자의 경우에는 리눅스의 경우에는 iptable 방화벽을 이용하여 outbound 트래픽을 제어할수 있는 정책을 수립하여 외부로 트래픽이 나갈수 없도록 제어를 해야 겠습니다. @ 엔시스.


|

,