:: 커피친구 :: > Theme > 대처 방법이 없는 다량의 IP유입

조용하던 2010.12.18 06:36:42
$_SERVER[HTTP_REFERER]) =="" 이면서
$_SERVER['HTTP_USER_AGENT'] == MSIE 6.0 인 녀석 2마리가 들어온 뒤

/*
188.72.235.22 2010-12-18 06:48:18 MSIE 6.0 XP 2010-12-18 06:36:42
Host name films-gratuit.com / Country Germany / Country Code DE

79.142.68.99 http://c79.co.kr/bbs/board.php?bo_table=th&wr_id=90 MSIE 6.0 XP 2010-12-18 06:48:18
Host name hosted-by.altushost.com / Country Italy / Country Code IT
*/

위의 두 IP와 관계가 있는지 모르지만
2010-12-18 07:07:17 ~ 09:06:34 막기까지 600개 가까운 IP가 동시에 들어왔다.

공통점은
$_SERVER[HTTP_REFERER]) =="" 이면서
$_SERVER['HTTP_USER_AGENT'] == "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
밖에 없다.

IP의 국가 대역은 너무 다양해서 의미가 없을듯 하고.
190.220.169.18 MSIE 6.0 XP 2010-12-18 07:07:17 Country Argentina Country Code AR
202.120.37.134 MSIE 6.0 XP 2010-12-18 07:07:20 Country China Country Code CN
.
.

이건 뭔 시츄에이션이냐 하면서도
대처할 수 있는 방법은 눈가리고 아웅 밖에 없다는 것.
die(); exit; 또한 눈을 감아버리는 형태일뿐 계속 쥐어터지는 상태.

//

기타 PHP취약코드, 쿠키변조툴 cooxie $_POST['password']
http://search.naver.com/search.naver?sm=tab_hty&where=nexearch&query=PHP%C3%EB%BE%E0%C4%DA%B5%E5%2C+%C4%ED%C5%B0%BA%AF%C1%B6%C5%F8+cooxie+%24_POST%5B%27password%27%5D&x=20&y=14

//

DDOS공격과 대처방안 PC/네트워크 2010/01/16 17:50
[출처]
http://blog.naver.com/corbikim/100097773590

DDoS (distributed denial-of-service attack) ; 분산 서비스 거부
DDoS 공격은 다수의 이미 해킹당한 시스템들을 이용한 분산된 공격이다.
이에대한 방어도 여러 시스템에서 동시에 이루어지는 것이 장비의 과부하도
해고할 수 있으며, 공격 트래픽이 ISP 내부 백본으로 유입되기 이전에 각 edge
라우터들에서 사전 차단함으로써 방버효과도 극대화할 수 있다.
Blackhole Routing
(장비의 성능저하를 최소화하면서 L3 레벨에서 필터링 할 수 있는 방법)
(개별 라우터 마다 Null0되는 rule을 일일이 업데이트 해야만 한다. )

Blackhole Routing Cisco Example

backbone#conf t
Enter configuration commands, one per line. End with CNTL/Z.
backbone(config)#ip route 58.120.227.250 255.255.255.255 Null0 = /32 bit 블러킹

DDoS Tools
trinoo : 1524/tcp , 27665/tcp , 27444/tcp , 31335/udp
TFN : ICMP , ECHO, ICMP , ECHO RePLY
stacheldraft : 16660/tcp , 65000/tcp , ICMP ECHO , ICMP ECHO REPLY
Shaft : 20432/tcp , 18753/udp, 20433/udp
TFN2k : random

대책 방안
네트워크 차원에서 서비스거부공격에 대한 기존의 방어기술로써 대표적인 것은
ACL, Blackhole Routing(Null0 Routing), uRPF, Rate-Limit 등이 있으며,
공격에 대한 추적을 위해서는 트래픽 흐름을 분석할 수 있는 NetFlow
기술이 대표적으로 있다.

ACL (Access Control List)
가장 일반적인 유해 트래픽 차단 기술로써 IP주소, 서비스 포트 그리고 컨텐츠를
기반으로 한 차단이 가능하다. 하지만 이 방법은 접근통제를 위한 별도의
ASIC 화된 모듈이 없을 경우 네트워크 장비에 많은 부담을 주어 성능저하의 원인이
될 수 있다. 또한 ISP와 같은 많은 네트워크 장비를 보유하고 있는 기관의 경우,
이들 장비들에 접근통제 정책을 업데이트하기 위해서 별도의 스크립트를 작성하거나,
그렇지 않은 경우 개별적으로 로그인하여 설정을 변경하여야 하는 어려움이 있다.

Null0 Routing
특정한 목적지로 향하는 패킷들을 Null0라는 가상 인터페이스에 포워딩 함으로써 drop
시킬 수 있는 기술. 국외에서는 Blackhole Routing 또는 블랙 필터링 이라 불리고 있지만
국내에서는 Null0 라우팅 이라고 한다. 이 기술은 네트워크 장비의 기본 기능인 포워딩
기능을 시용하므로 ACL 기술에 비해 장비의 과부하가 거의 없으나, IP 기반(L3)의
필터링만 제공할 수 있고, 서비스 포트(L4)나 컨텐츠(L7)에 의한 핕터링은
불가능한 단점을 가지고 있다.

uRPF(unicast Reverse Path Forwarding)
출발지 IP주소를 위장(IP Spoofing)한 공격을 차단해 줄 수 있는 기술로써, 라우터가
패킷을 받으면 출발지 IP 주소를 확인하여 해당 IP로 갈 수 있는 역경로(Reverse Path)가
존재하는지 확인함으로써 출발지 IP 주소를 신뢰한다. 대부분 DoS 또는 DDoS 공격이
자신의 출발지 주소를 위장하므로 uRPF는 상당히 효과적인 서비스거부공격 차단 수단이
될 수 있다. 하지만, 이 기술 역시 다수의 라우팅 경로가 존재하는 비대칭 망구조를
가지고 있을 경우 적용의 한계(stricy 모드 사용 못함)가 있으며, Spoofing 을 방지하는
것 이외에 다양한 서비스거부공격에 대한 대응 기능이 존재 하지 않는다

Rate-Limit
특정 서비스 또는 패턴을 가진 패킷이 단위시간 동안 일정량 이상 초과할 경우
그 이상의 패킷을 통과시키지 않도록 하는 기술을 Rate-Limit 기술이라 함.
이것은 Ratefiltering 이라고도 하며, Cisco에서는 CAR(Commit Access Rate)로
구현하고 있다. 이 기술은 Syn flooding 공격시 Syn 패킷의 Bandwth 제한,
Smurf 공격이 ICMP 패킷의 Bandwith 제한 등에 유용하게 사용될 수 있다.
하지만, 비정상적인 패킷 뿐만 아니라 정상적인 패킷도 차단될 수 있으며,
해당 기능을 수행하는 전용 모듈이 없을 경우 라우터에 과부하를 유발시킬
수 있는 단점이 있다.

//

일반 사용자 처럼 크롤러의 정보를 남기지 않는 크롤러族도 있다.

IP Information - 119.161.13.194
Host name crawler12.dls.srch.kr3.yahoo.com
Country Korea, Republic of
Country Code KR
Region Seoul-t'ukpyolsi
City Seoul
Latitude 37.5664
Longitude 126.9997

119.161.13.189 MSIE 7.0 XP 2011-01-17 01:16:19
119.161.13.188 MSIE 7.0 XP 2011-01-17 01:16:19
119.161.13.191 MSIE 7.0 XP 2011-01-17 01:16:18
119.161.13.194 MSIE 7.0 XP 2011-01-17 01:16:18

※ 포털에서 검색된뒤 원하시는 링크가 없을 경우 화면 상단의 전체검색을 이용하십시오.