답변 3개
웹소켓서버 운영하고 계신건가요?
아무튼. 올리신 로그는 2022-11-01 00:43:10 KST 1초 안에 ip 가 여러개에서 들어오긴 합니다만
클라이언트 ip 172.71.110.94 에서 들어오는것만 볼때
1초 안에 파라미터값 t, sid 가 바뀌는걸로 봐서
정상적인 접속은 아닌것 같습니다. 또는 무언가 작업중인 상황이라면
아직 완성되지 않은 접속 프로그램을 작성하고 테스트중인 클라이언트 정도라고 판단할수 있겠네요
답변에 대한 댓글 7개
그걸 가지고 또 장난치거나 다른 공격을 시도하는
일종의 brute force Bot 이 아닐까 예상해 봅니다.
왜 인지 이유도 없다고 생각하는게 나을 겁니다.
일반 웹페이지의 경우에도 /admin /phpMyadmin /wp-admin 처럼 막무가내로 들어오는데
그냥 찌르고 보는거죠
IP 대역대로 차단 걸어보세요
아군이라면 수초/분 내에 연락이 올것이고
아니면 차단 했다가 나중에 다시 풀어봐도 될것 같습니다.
보통 CIDR 표기로
A.B.C.D/32
172.71.110.94/32
172.71.110.0/24
정도
최대 A.B.0.0/16 정도 까지만 차단 또는 허용 합니다.
141.101.84.0/24
172.64.0.0/13
이렇게 나옵니다.
iptables -A INPUT -s 172.64.0.0/13 -j DROP
이런식으로 위 두개를 차단했더니 사이트 자체 접속이 안되더라구요..
인프라를 제공하는 쪽에서 보안 관련 섹션 UI 에서 각 항목을 입력할수 있도록 되어 있을겁니다.
지금 서버에서 직접 iptable 에 추가한 설정 모두 초기화 하시고
그쪽에서 손쉽게 조작하고 확인하는 방법을 사용해보세요.
나중에 설정이 복잡해지면 그런식으로 관리가 안될겁니다.
172.64 로 시작하는 ip 대역대는 올리신 스샷에 없는것 같은데
사이트 접속이 안된다는 경우는 서버 접속을 동일한 인프라 안에서 하고 있는건가요?
만약 그런 케이스에 해당하는, 공급자와 공격자의 ip 가 겹치는 경우라면 ip 차단을 걸면 안되겠죠.
예상으로는
접속 확인 환경이 잘못되었든지
아니면 그렇게 밖에 환경구성이 안될경우 내부 private ip 를 사용하는 방법도 있는데 그부분을 놓치셨든지
일것 같습니다.
D 클래스부터 차례로 차단시켜가며 문제되는 대역대는 일단 패스하면서 설정하는것도 방법입니다.
어쩔수 없이 허용해야 하더라도 최소한으로 할수있겠죠
댓글을 작성하려면 로그인이 필요합니다.
클플 사용한다면, 모든 홈페이지요청은 "고객pc -> 클플 -> 서버" 로 됩니다.
다량의 웹접속시도가 와도 결국 클플에서 서버로 다량의 요청을 하게되죠 캐싱이 되어있다면
클플 서버로 요청안하고 바로 고객pc로 응답하기도 하고요,
위에 적어주신 ip들은 모두 클플 아이피대역이라, iptables 막으면 사이트가 당연히 안나오고요,
클플에서 잘막아주시는게 맞습니다
그리고 추가적으로 웹서버내 remote_ip 모듈 설정하여 로그 조금수정하면 클플 아이피말고 실제 접속자아이피도 확인이 가능합니다.
답변에 대한 댓글 1개
댓글을 작성하려면 로그인이 필요합니다.
댓글을 작성하려면 로그인이 필요합니다.
답변을 작성하려면 로그인이 필요합니다.
로그인
