커피닉스는 iptables을 이용해서 DROP시 로그를 남기도록 개인방화벽을 사용한다. 로그 남기는 것 없이 DROP만 하는 분도 있는데, 어떤 공격이 어느 정도 시도가 있는지 모르는 답답함 속에 살지 말고 꼭 남겨서 로그 확인해보면 인터넷이 얼마나 오염됐는지 확인해보길.. ^^*
(FreeBSD에서도 ipfw에 log 설정으로 남길 수 있음)
messages 등의 파일에 다음과 같은 로그가 쌓인다.
문득 어느정도 어느 포트로 들어오나 궁금해서, 최근 몇시간 것만 뽑은 후 awk 몇 번 돌리고, uniq, sort 이용하니
- TCP 139, TCP 1433, TCP 135등 Windows용 포트와
- vnc, radmin등이 사용하는 5800, 4899포트 등이 대부분인 걸 수치로 확인할 수 있었다.
※ 맨 앞부터 건수, 다음 TCP/UDP, 포트
참고로 국내외의 포트스캔에 대한 정보는 다음 사이트에서.
http://ftp.kreonet.re.kr/flow/index.html
http://isc.sans.org/port_report.php
(FreeBSD에서도 ipfw에 log 설정으로 남길 수 있음)
iptables -N Drop_Log
iptables -A Drop_Log -j LOG
iptables -A Drop_Log -j DROP
iptables -A INPUT ... 생략 ... -j Drop_Log <-- 이런 룰이 몇개 쭈욱 있겠죠.
messages 등의 파일에 다음과 같은 로그가 쌓인다.
Dec 17 21:10:35 xxxxx kernel: IN=eth0 OUT= MAC=...생략... SRC=xxx.xxx.xxx.xxx DST=yyy.yyy.yyy.yyy LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=24837 PROTO=TCP SPT=4339 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0
문득 어느정도 어느 포트로 들어오나 궁금해서, 최근 몇시간 것만 뽑은 후 awk 몇 번 돌리고, uniq, sort 이용하니
- TCP 139, TCP 1433, TCP 135등 Windows용 포트와
- vnc, radmin등이 사용하는 5800, 4899포트 등이 대부분인 걸 수치로 확인할 수 있었다.
※ 맨 앞부터 건수, 다음 TCP/UDP, 포트
71 TCP 139 (netbios-ssn)
57 TCP 1433 (ms-sql-s)
30 TCP 135 (epmap)
23 TCP 5800 (vnc)
13 TCP 4899 (radmin)
8 UDP 1026
8 TCP 445 (microsoft-ds)
7 UDP 500
6 UDP 137 (netbios-ns)
6 TCP 5900 (vnc)
6 TCP 443 (https)
5 UDP 1027
5 TCP 22 (ssh)
4 TCP 4769
3 TCP 8080 (proxy, web 등)
3 TCP 2100 (amiganetfs)
2 TCP 55055
2 TCP 1338
2 TCP 1024
2 TCP 10000 (ndmp)
1 TCP 36604
1 TCP 35092
1 TCP 3389
참고로 국내외의 포트스캔에 대한 정보는 다음 사이트에서.
http://ftp.kreonet.re.kr/flow/index.html
http://isc.sans.org/port_report.php
'시스템이야기' 카테고리의 다른 글
| 매일경제 DNS의 SPF 레코드 설정 오류 (3) | 2007.02.16 |
|---|---|
| KISA 동향정보 게시판에... (1) | 2007.02.14 |
| 오픈소스 NAS 서버, FreeNAS 설치 화면 (0) | 2007.02.13 |
| php에서 업로드 파일 바이러스 검사하기 (4) | 2007.01.20 |
| 리눅스에서 보안 취악성막는 DieHard 라이브러리 (1) | 2007.01.10 |
