반응형



                                                      [그림-1]  IRC 봇에 의한 MRTG 트래픽 모니터링

IRC 봇넷으로 인한 과도한 트래픽이 모니터링 되는 현상입니다. 짧은 시간에 100MB 라인에서 거의 80%를 차지하게 되면 대부분 네트워크 대역폭을 많이 차지 하게 됨으로 해당 대역폭을 소비하게 됩니다.

이로써 해당 네트워크 대역에 있는 서버의 접속은 느끼게 되겠지요.. 확인결과 일정한 IP주소로 트래픽을 보내고 있는것이
확인이 되었습니다.


                                                       [그림-2] iptables 을 이용한 트래픽 제어

우리가 리눅스 서버인 경우 가장 쉽게 필터링 할 수 있는 것이 리눅스 자체에 내장된 iptables 방화벽을 이용하여 필터링 하는 것입니다.

평소 iptables 에 대한 규칙을 알고 있을 경우, 간단한 명령어 몇줄만 있으면 바로 처리가 될 수 있겠지요. 따라서 각 운영체제별 시스템 보안에 따르는 필터링 정도는 숙지 하고 있는 것이 유사시에 긴급하게 대처 할 수 있는 방법입니다.


                                                     [그림 -3] IRC봇으로 연결 되는 서버 차단

해당 udp 포트로 향하고 있는 트래픽을 차단 하여 드롭(drop) 시키는 명령어를 수행하여 서버 기준으로 보았을때 outbound 의 트래픽을 차단함으로 인하여 우선 서버와 스위치의 부하율을 내릴 수 있었습니다.

우선 해당 시스템은 이미 누군가의 외부로부터의 접근이 있어 서버에서 과도한 트래픽을 유발 시키고 있었고 이는 타 서버로의 경유지로 이용됨을 알수 있었습니다.

현재, 이러한 형태의 서버가 비일비재 하며, 해당 시스템관리자들은 매일 같이 모니터링 하면서 트래픽의 추이를 지켜 보아야 하는데 사람이 하는 노릇이라 매일같이 모니터만 붙잡고 있을 수 없기에 자동화 하고 모니터링을 할수 있는 시스템 구축이 우선시 되어야 할 것입니다.  간단한 오픈소스를 이용해서라도 모니터링할 수 있는 시스템 구축을 한다면 조금 더 효율적인 네트워크를 관리 할 수 있지 않을까 생각이 드네요.. @엔시스.

,