[그림-1]  IRC 봇에 의한 MRTG 트래픽 모니터링

IRC 봇넷으로 인한 과도한 트래픽이 모니터링 되는 현상입니다. 짧은 시간에 100MB 라인에서 거의 80%를 차지하게 되면 대부분 네트워크 대역폭을 많이 차지 하게 됨으로 해당 대역폭을 소비하게 됩니다.

이로써 해당 네트워크 대역에 있는 서버의 접속은 느끼게 되겠지요.. 확인결과 일정한 IP주소로 트래픽을 보내고 있는것이
확인이 되었습니다.


                                                       [그림-2] iptables 을 이용한 트래픽 제어

우리가 리눅스 서버인 경우 가장 쉽게 필터링 할 수 있는 것이 리눅스 자체에 내장된 iptables 방화벽을 이용하여 필터링 하는 것입니다.

평소 iptables 에 대한 규칙을 알고 있을 경우, 간단한 명령어 몇줄만 있으면 바로 처리가 될 수 있겠지요. 따라서 각 운영체제별 시스템 보안에 따르는 필터링 정도는 숙지 하고 있는 것이 유사시에 긴급하게 대처 할 수 있는 방법입니다.


                                                     [그림 -3] IRC봇으로 연결 되는 서버 차단

해당 udp 포트로 향하고 있는 트래픽을 차단 하여 드롭(drop) 시키는 명령어를 수행하여 서버 기준으로 보았을때 outbound 의 트래픽을 차단함으로 인하여 우선 서버와 스위치의 부하율을 내릴 수 있었습니다.

우선 해당 시스템은 이미 누군가의 외부로부터의 접근이 있어 서버에서 과도한 트래픽을 유발 시키고 있었고 이는 타 서버로의 경유지로 이용됨을 알수 있었습니다.

현재, 이러한 형태의 서버가 비일비재 하며, 해당 시스템관리자들은 매일 같이 모니터링 하면서 트래픽의 추이를 지켜 보아야 하는데 사람이 하는 노릇이라 매일같이 모니터만 붙잡고 있을 수 없기에 자동화 하고 모니터링을 할수 있는 시스템 구축이 우선시 되어야 할 것입니다.  간단한 오픈소스를 이용해서라도 모니터링할 수 있는 시스템 구축을 한다면 조금 더 효율적인 네트워크를 관리 할 수 있지 않을까 생각이 드네요.. @엔시스.

Posted by 엔시스

제목이 조금 자극적이긴 한데요..오리지널 OSI가 무엇인가? 라는 제목으로 나온 글과 자료가 있어 포스팅 합니다. 네트워크 공부하는 사람이라면 OSI 7 에 대하여 많이 배울텐데.. 다시 한번 정리 할수 있는 기회가 되었으면 합니다.

년도를 보니까 상당히 오래된 내용인듯 합니다.  참고 바랍니다.





출처 : http://packetlife.net/blog/2010/may/28/origin-osi-model/

Posted by 엔시스

각종 네트워크에서 이기종간에 서로 네트워크가 살아 있다는 (alive) 즉, 서로 통신이 가능하다는 징표를 알수 있는 명령어가 바로 ping (핑) 이라는 명령어입니다..

자,,,그럼 또 제 블로그가 정보보호 따라잡기니까 또 따라해 보겠습니다...

1. cmd 실행 명령어를 실행 합니다..




자신의 PC에서  시작 > 실행 부분을 클릭하면 위와 같은 그림이 나옵니다..여기에서  cmd 라는 명령어를 입력을 합니다. 그렇게 하면 검은색 바탕에 도스창이 보이게 됩니다..


2. ping 명령어 입력



기본적인 포털 네이버에 ping 테스트를 해 보았습니다..밑에 답변을 보니까 핑에 대한 답변이 없습니다..이것은 그쪽 서버가 네트워크가 다운되어 있다는 것이 아니라 ping 으로 인한 보안적 위협요소를 제거 하고자 ping 을 막아 놓은 것으로 생각이 됩니다..

아니면 요즘은 클라이언트 PC 보안강화를 위하여 PC 방화벽에서 PING 을 보낼수 있는 부분이 허용이 안되면 위와 같은 상황이 일어날수도 있습니다. XP의 경우 SP2(서비스팩2) 이상이 올라가 있다면 그럴수도 있습니다.

아무튼 여기서 말씀드리고자 하는 내용은 PING 이라는 유틸리티라는 것입니다. 어떻게 사용하고 어떻게 반응하는지에 대한 부분입니다.



포털 다음에 핑을 테스트 해 보았지만 역시 답변이 없었습니다..전부 포털이 보안적 요소를 제거 하기 위하여 ping 을 받아 놓은 모양입니다..



그럼 이번에는 티스토리를 테스트 해 보았습니다..역시 티스토리도 핑을 막아 놓은 모양입니다..요즘은 대부분 보안상 막아 놓기 때문에 각종 포털에 대하여 ping 테스트로 네트워크가 살아 있는지 테스트 하기에는 조금 무리가 있지 않은가 하는 느낌이 듭니다.

하지만 지금 우린 초보보안 공부하고 있는 부분이니 그 의미 파악만 하면 되겠습니다...



마지막으로 이번에 야후코리아에 핑 테스트를 해 보았습니다..아..실제 우리가 테스트 해 보고자 하는 현상이 나타났습니다..
자...자세히 보시면 보이는 ip가 야후 코리아 서버 ip라 보시면 되겠습니다..이런식으로 대답이 오면 네트워크가 살아 있다는 것이지요...

지금 테스트한 내용으로 봐서는 마지막에 야후에는 핑테스트가 되었기 떄문에 클라이언트 방화벽에 대한 문제는 아니고 서버측에서 막아 놓은게 아닌가 하는 생각이 드네요.

그리고 노란색 박스처리한 부분을 자세히 보시면 상대방 서버 ip 와 그리고 보낸 패킷수 그리고 응답수,,그다음에 패킷로스..또한 그 패킷이 송신과 수신을 할때 걸린 최소 초대 시간과 평균 시간이 자세히 나타나 있습니다.

3. ping 명령어 하나에도 많은 정보가 담겨 있어

간단한 명령어지만 자세히 들여다 보면 많은 지식을 찾을수 있고 실제 ping 테스트를 하여 중간에 송수신 평균 시간이 골고루 나오지 않으면 네트워크가 불안정하다는 요소를 알수가 있고 혹시 만에 하나 패킷 로스부분에 카운트가 되면 현재 패킷이 중간에 빠지고 있다는 사실을 알수 있으니 네트워크 간단한 명령어중에서도 많은 정보를 알수 있습니다.  보통 핑테스트는 도메인 보다는 ip 어드레스로 많이 한다는 것도 참고로 알아 두시면 좋겠습니다.

이제 하나씩 짚어가니까 그리 어렵지 않겠지요.. 주변에서 하도 보안에 대하여 어렵다고들 말씀하시니 부족한 글과 설명이지만 제 정성과 열정을 다해서 포스팅 할때니까 이제 막 보안에 대하여 관심 있는 일반 구독자 분들이나 보안에 관심 있는 분들 격려의 댓글도 부탁드립니다..

Posted by 엔시스

가끔씩 임의적인 IP변경으로 인하여 네트워크에서 IP가 충돌 난다는 경고를 받습니다. 그럴때 IP관리가 되어 있다든지 하면 그나마 확인 하는 방법이 쉬운데 관리가 안되면 난감한 경우가 있습니다.

내가 임의적으로 IP를 변경하던지 아니면 다른 사람이 나와 같은 IP를 쓰는 PC를 찾아서 변경해 주어야 하는데 그걸 찾기가 쉽지 않습니다.

하지만 아래와 같이 하면 찾아 IP변경을 해 주면 되겠죠..^^ 물론 다른 여유 IP가 있다는 굳이 고생하지 않고 내 IP를 변경하면 되겠지만 요즘 처럼 보안솔루션에서 등록된 IP만 접근이 되는 정책이 많이 포함이 되어 있다면 내 IP를 변경하기가 쉽지는 않겠지요..

우선 실행 > cmd 명령어 입력





위 그림과 같이 하여 워크 그룹에 MYCOM을 사용하는 PC를 찾아 내면 되겠지요...참고 하시기 바랍니다...


Posted by 엔시스

홍석범씨가 작성한 문서인데  참고 할만 자료입니다... 전반적인 네트워크와 포트 개념 및 실제 실무에 사용할수 있는 내용들이 잘 정리 되어 있습니다..





Posted by 엔시스