시스템이야기2006. 12. 17. 22:07
커피닉스는 iptables을 이용해서 DROP시 로그를 남기도록 개인방화벽을 사용한다. 로그 남기는 것 없이 DROP만 하는 분도 있는데, 어떤 공격이 어느 정도 시도가 있는지 모르는 답답함 속에 살지 말고 꼭 남겨서 로그 확인해보면 인터넷이 얼마나 오염됐는지 확인해보길.. ^^*
(FreeBSD에서도 ipfw에 log 설정으로 남길 수 있음)

iptables -N Drop_Log
iptables -A Drop_Log -j LOG
iptables -A Drop_Log -j DROP

iptables -A INPUT ... 생략 ... -j Drop_Log  <-- 이런 룰이 몇개 쭈욱 있겠죠.

messages 등의 파일에 다음과 같은 로그가 쌓인다.

Dec 17 21:10:35 xxxxx kernel: IN=eth0 OUT= MAC=...생략... SRC=xxx.xxx.xxx.xxx DST=yyy.yyy.yyy.yyy LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=24837 PROTO=TCP SPT=4339 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0

문득 어느정도 어느 포트로 들어오나 궁금해서, 최근 몇시간 것만 뽑은 후 awk 몇 번 돌리고, uniq, sort 이용하니
- TCP 139, TCP 1433, TCP 135등 Windows용 포트와
- vnc, radmin등이 사용하는 5800, 4899포트 등이 대부분인 걸 수치로 확인할 수 있었다.

※ 맨 앞부터 건수, 다음 TCP/UDP, 포트
    71 TCP 139  (netbios-ssn)
    57 TCP 1433 (ms-sql-s)
    30 TCP 135  (epmap)
    23 TCP 5800 (vnc)
    13 TCP 4899 (radmin)
     8 UDP 1026
     8 TCP 445  (microsoft-ds)
     7 UDP 500
     6 UDP 137  (netbios-ns)
     6 TCP 5900 (vnc)
     6 TCP 443  (https)
     5 UDP 1027
     5 TCP 22   (ssh)
     4 TCP 4769
     3 TCP 8080 (proxy, web 등)
     3 TCP 2100 (amiganetfs)
     2 TCP 55055
     2 TCP 1338
     2 TCP 1024
     2 TCP 10000 (ndmp)
     1 TCP 36604
     1 TCP 35092
     1 TCP 3389

참고로 국내외의 포트스캔에 대한 정보는 다음 사이트에서.

http://ftp.kreonet.re.kr/flow/index.html

http://isc.sans.org/port_report.php
Posted by 좋은진호