Language
한국어

cafe24 가상 호스팅에서 하루에 10G 를 오르내리는 트래픽이 발생해 초과 트래픽 과금이 발생했다.


apache 로그나 각종 확인으로 조치되었다고 생각했으나, 역시 같은 현상이 발생하여, 여러 트래픽 확인 프로그램을 사용했다.


sshd에 test(UID 는 502) 계정으로 악성 트래픽이 발생하고 있어, 사용자를 지우려고 했다.


그러나 로그인 되어 있다고 나와 운영중인 프로세스를 종료시키고 트래픽을 체크하니 해당 문제로 보여진다.


몇 시간 후와 내일 다시 확인해봐야겠다.(악성 트래픽은 조치되었다)


악성 트래픽, 넌 누구냐!!?



덕분에 로그를 통한 트래픽 및 각종 트래픽 확인 프로그램들을 다뤄봤다.


nethogs : 프로세스 별로 트래픽 확인 가능(yum install nethogs)

iftop : ip 별로 트래픽 확인 가능(yum install iftop)

iftop -i eth0


아파치 로그 파일의 파일 용량을 합산하여 트래픽 확인

cat /var/log/httpd/access_log| awk '{sum += $10} END {print sum/1024000, "MB"}'


vnstat -d (일별 트래픽 확인)

'2' 댓글

lispro06

2017.07.02
12:23:36

UDP Source-IP Flooding, UDP Packet Flooding, UDP Destination-IP Flooding, UDP Flooding 이 운영 서버에서 임의 서버로 공격이 일어 났다고 한다.


iptables -A OUTPUT -p udp -j DROP


을 등록해서 UDP OUTBOUND 를 막아볼 생각이다. dns 서버로 접속을 못하니 도메인 기반으로는 접근 못하는데, ip 로는 outbound 가 된다.


tftp 서버를 구축해 해당 정책을 적용하면 not permitted 라고 나오는데 일단 해보자.


첨부는 tftp 서버 프로그램이고, 본문의 3번째(마지막) 사진이 적용 결과이다.

(귀신 같은....)


dns 검색도 사용이 안되어, 아래와 같이 해봤다.

iptables -A OUTPUT -p udp --match multiport --dports 1:52 -j DROP

iptables -A OUTPUT -p udp --match multiport --dports 54:65535 -j DROP

첨부 :
windows_tftp_server.zip [File Size:589.9KB/Download6]

lispro06

2017.07.10
22:56:08

53번 포트를 제외하고 막았을 때의 경과이다. 4G 정도가 막지 않았던 시간에 일어난 것인지는 몰라도, 이제는 발생하지 않는 듯 하다. 그런데, syslog엔 실패 로그 같은게 없어서 원인 해결은 못 하겠다.


udp.jpg

첨부 :
udp.jpg [File Size:20.0KB/Download7]
문서 첨부 제한 : 0Byte/ 2.00MB
파일 크기 제한 : 2.00MB (허용 확장자 : *.*)
옵션 :
:
:
:
: