nginx log 질문
본문
이 로그들은 뭘까요? DDoS 인가요?
로그 파일을 지우면 저 로그로 가득차서 10MB가 몇분안에 돌파해버리는데 저게 뭘까요..?
답변 3
웹소켓서버 운영하고 계신건가요?
아무튼. 올리신 로그는 2022-11-01 00:43:10 KST 1초 안에 ip 가 여러개에서 들어오긴 합니다만
클라이언트 ip 172.71.110.94 에서 들어오는것만 볼때
1초 안에 파라미터값 t, sid 가 바뀌는걸로 봐서
정상적인 접속은 아닌것 같습니다. 또는 무언가 작업중인 상황이라면
아직 완성되지 않은 접속 프로그램을 작성하고 테스트중인 클라이언트 정도라고 판단할수 있겠네요
난감 하더군요.. 마지막에 찍히는 아이피는 제 서버 아이피고 첫번째줄에 찍히는 아이피들 172, 141 로 시작하는 것들 대역대를 검색해보니 클라우드 플레어 이던데 왜 제서버로 저렇게 많이 접속 할까요?
무차별 대입하다가 뭐 하나 얻어걸릴때 획득되는 정보가 있다면
그걸 가지고 또 장난치거나 다른 공격을 시도하는
일종의 brute force Bot 이 아닐까 예상해 봅니다.
왜 인지 이유도 없다고 생각하는게 나을 겁니다.
일반 웹페이지의 경우에도 /admin /phpMyadmin /wp-admin 처럼 막무가내로 들어오는데
그냥 찌르고 보는거죠
IP 대역대로 차단 걸어보세요
아군이라면 수초/분 내에 연락이 올것이고
아니면 차단 했다가 나중에 다시 풀어봐도 될것 같습니다.
172, 141로 시작하는 대역대 찾아서 대역대 자체를 차단했는데 사이트도 같이 멈추네요.. 클플을 사용하고 있거든요
그렇게 A 클래스만 걸면 범위가 너무 넓어집니다.
보통 CIDR 표기로
A.B.C.D/32
172.71.110.94/32
172.71.110.0/24
정도
최대 A.B.0.0/16 정도 까지만 차단 또는 허용 합니다.
172, 141 로 시작하는 아이피들이 끝자리만 바뀌어서 들어 오는데 대역대를 검색해보니
141.101.84.0/24
172.64.0.0/13
이렇게 나옵니다.
iptables -A INPUT -s 172.64.0.0/13 -j DROP
이런식으로 위 두개를 차단했더니 사이트 자체 접속이 안되더라구요..
iptable 명령어를 직접 다루기 보다는
인프라를 제공하는 쪽에서 보안 관련 섹션 UI 에서 각 항목을 입력할수 있도록 되어 있을겁니다.
지금 서버에서 직접 iptable 에 추가한 설정 모두 초기화 하시고
그쪽에서 손쉽게 조작하고 확인하는 방법을 사용해보세요.
나중에 설정이 복잡해지면 그런식으로 관리가 안될겁니다.
172.64 로 시작하는 ip 대역대는 올리신 스샷에 없는것 같은데
사이트 접속이 안된다는 경우는 서버 접속을 동일한 인프라 안에서 하고 있는건가요?
만약 그런 케이스에 해당하는, 공급자와 공격자의 ip 가 겹치는 경우라면 ip 차단을 걸면 안되겠죠.
예상으로는
접속 확인 환경이 잘못되었든지
아니면 그렇게 밖에 환경구성이 안될경우 내부 private ip 를 사용하는 방법도 있는데 그부분을 놓치셨든지
일것 같습니다.
D 클래스부터 차례로 차단시켜가며 문제되는 대역대는 일단 패스하면서 설정하는것도 방법입니다.
어쩔수 없이 허용해야 하더라도 최소한으로 할수있겠죠
카카오톡 친추 가능하실까요?ㅜㅜ
클플에서 방화벽으로 해결 하였습니다.!
클플 사용한다면, 모든 홈페이지요청은 "고객pc -> 클플 -> 서버" 로 됩니다.
다량의 웹접속시도가 와도 결국 클플에서 서버로 다량의 요청을 하게되죠 캐싱이 되어있다면
클플 서버로 요청안하고 바로 고객pc로 응답하기도 하고요,
위에 적어주신 ip들은 모두 클플 아이피대역이라, iptables 막으면 사이트가 당연히 안나오고요,
클플에서 잘막아주시는게 맞습니다
그리고 추가적으로 웹서버내 remote_ip 모듈 설정하여 로그 조금수정하면 클플 아이피말고 실제 접속자아이피도 확인이 가능합니다.
구체적인 답변 감사합니다.
