IRC 봇넷으로 인한 과도한 트래픽이 모니터링 되는 현상입니다. 짧은 시간에 100MB 라인에서 거의 80%를 차지하게 되면 대부분 네트워크 대역폭을 많이 차지 하게 됨으로 해당 대역폭을 소비하게 됩니다.
이로써 해당 네트워크 대역에 있는 서버의 접속은 느끼게 되겠지요.. 확인결과 일정한 IP주소로 트래픽을 보내고 있는것이
확인이 되었습니다.
우리가 리눅스 서버인 경우 가장 쉽게 필터링 할 수 있는 것이 리눅스 자체에 내장된 iptables 방화벽을 이용하여 필터링 하는 것입니다.
평소 iptables 에 대한 규칙을 알고 있을 경우, 간단한 명령어 몇줄만 있으면 바로 처리가 될 수 있겠지요. 따라서 각 운영체제별 시스템 보안에 따르는 필터링 정도는 숙지 하고 있는 것이 유사시에 긴급하게 대처 할 수 있는 방법입니다.
[그림 -3] IRC봇으로 연결 되는 서버 차단
해당 udp 포트로 향하고 있는 트래픽을 차단 하여 드롭(drop) 시키는 명령어를 수행하여 서버 기준으로 보았을때 outbound 의 트래픽을 차단함으로 인하여 우선 서버와 스위치의 부하율을 내릴 수 있었습니다.
우선 해당 시스템은 이미 누군가의 외부로부터의 접근이 있어 서버에서 과도한 트래픽을 유발 시키고 있었고 이는 타 서버로의 경유지로 이용됨을 알수 있었습니다.
현재, 이러한 형태의 서버가 비일비재 하며, 해당 시스템관리자들은 매일 같이 모니터링 하면서 트래픽의 추이를 지켜 보아야 하는데 사람이 하는 노릇이라 매일같이 모니터만 붙잡고 있을 수 없기에 자동화 하고 모니터링을 할수 있는 시스템 구축이 우선시 되어야 할 것입니다. 간단한 오픈소스를 이용해서라도 모니터링할 수 있는 시스템 구축을 한다면 조금 더 효율적인 네트워크를 관리 할 수 있지 않을까 생각이 드네요.. @엔시스.
'Security Junior' 카테고리의 다른 글
| [중급보안-1강] 아파치 manual 디렉토리 리스팅 취약성 (0) | 2009.03.26 |
|---|
