방화벽에서 Mac 어드레스로 차단을 했는데여....
글쓴이: ksh5485 / 작성시간: 화, 2008/07/29 - 6:52오후
운영하는 서버에 SSH Brute 공격이 들어와서 처음에는 해당 ip주소를 차단했는데
로그를보니까 맥어드레스는 같고 차단하면 ip주소를 바꿔서 계속 공격이 들어오더군여...
messages 로그를 보면 MAC=xx:xx:xx:xx:xx:xx:00:05:31:44:30:0a:08:00 이렇게 로그가 남습니다
앞에 x는 서버의 맥어드레스 주소구여... (근데 맥어드레스는 16진수 6자리 아닌가여?? 근데 뒷부분은 8자리네여...)
우선 맥주소를 서버의 방화벽에서 다음과 같이 차단을 했습니다
-p tcp -m tcp --dport 22 --syn -m mac --mac-source 00-05-31-44-30-0A -j DROP
위에 로그에서 앞의 6자리를 차단을 했습니다...
차단후에 로그를 보면 더이상 차단한 맥어드레스에서는 접속을 하지 않는데
저 맥어드레스가 아닌 다른 맥어드레스에서 접속이 안되네여... (접속이 안되는 맥어드레스 : 00-00-f0-97-6f-c0)
방화벽의 저 부분을 삭제하면 정상적으로 접속이 됩니다... 그외 다른 맥주소에서도 정상 접속이 안됩니다...
어떤 부분이 잘 못 됬을까요...?? 저 공격때문에 계속 서버가 죽는거 같은데...
Forums:
맥주소가
맥주소가 게이트웨이의 맥주소 아닐까요 ?
같은 네트워크에서는 맥주소로 해당 패킷들을 차단할 수 있지만, 외부 네트워크에서 들어오는 패킷의 경우 맥주소로 막을 수는 없을 것 같습니다.
+
++++++++++++++++++++++++++++++++++++++++++++++
혼자놀기의 도사가 되리라... http://geeklife.co.kr
.
++++++++++++++++++++++++++++++++++++++++++++++
혼자놀기의 도사가 되리라... http://geeklife.co.kr
그런가여...??
위의 맥주소로 들어오는 ip들을 조회해 보면 국가가 모두 다르네요...(외국)
차단한 맥주소가 아닌 다른 맥주소로 접속이 안된다는 사람들은 국내에서 접속을 하는거구요...
근복적으로 막을수 있는 방법이 없을까요...?? 맥주소로 차단이 안된다면 ip를 계속 바꿔서 들어오기 때문에
ip를 차단하는것으로는 막을수가 없는데...
음...
sshd 포트를 변경하는 것도 방법이 될 수 있겠고...
특정 IP 에서만 22 번 포트로의 접속을 허용하고 나머지는 차단하는 것도 방법이 될 수 있습니다.
되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』
되면 한다! / feel no sorrow, feel no pain, feel no hurt, there's nothing gained.. only love will then remain.. 『 Mizz 』
댓글 달기