현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

tcpdump나 snort로 도메인명을 알수 있을까요?

익명 사용자의 이미지
글쓴이: 익명 사용자 / 작성시간: 수, 2011/03/09 - 3:47오후

안녕하세요!

항상 도움만 얻어가는 초보 엔지니어 입니다.

또 다시 고수분들의 조언을 부탁드립니다.

현재 한서버에 약 300개 정도의 사이트가 운영되고 있습니다.
(각 사이트가 트래픽이 많이 발생하는 사이트가 아닙니다.)

근래 해당 서버로 SYN Flood 공격이나 DDoS공격이 자주 발생하고 있는 상태입니다.

공격이 들어오면 트래픽 문제로 IDC에 요청하여 아예 차단을 하는데 서비스가 되지 않아 문제가 많습니다.. ㅠ

들어보니 공격의 경우 IP로 직접 공격하는 경우는 드물고 대부분 도메인으로 공격을 한다고 하더군요.
(IP는 바꾸면 땡이라)

그래서 공격이 들어올때의 도메인을 찾기위해 패킷을 보기위해

tcpdump로 해보고 snort도 설치해서 테스트 해봤지만 도메인을 찾는것이 잘 되지 않네요.

분명히 방법이 있을거 같은데 모르는게 많아 헤메고 있습니다.

조언 부탁드립니다.!!!

감사합니다.

Forums: 
설치 및 활용 QnA
ydhoney의 이미지

글쓴이: ydhoney / 작성시간: 수, 2011/03/09 - 6:50오후

아파치나..뭐 하여간 웹서버의 Access Log로 리퍼러나 클라이언트 정보 같은걸 보시던가 해보세요.

그 다음에 안나오면 다음 단계로 뭘 봐야될까 생각해야..

익명 사용자의 이미지

글쓴이: 익명 사용자 / 작성시간: 수, 2011/03/09 - 10:48오후

답변 감사합니다.!

웹서버 로그는 제일 먼저 보았지만 웹로그 상에서는 확인이 되지 않습니다.

특래픽이 syn flooding 형태로 유입되어 보이는데 정상적인 tcp세션이 맺어지지 않으니 웹서버 로그는 쌓이지 않아

tcpdump나 snort를 생각한 겁니다.

어렵네요.. ㅠ

김정균의 이미지

글쓴이: 김정균 / 작성시간: 수, 2011/03/09 - 11:24오후

syn flooding이라면 HTTP/1.1 header를 보낸 상태가 아니기 때문에 알 길이 없습니다. IP header에는 domain을 위한 공간이 없으니까요.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.