같은 아이피가 있는지 알아내려고 합니다.
글쓴이: h2cl / 작성시간: 화, 2008/09/02 - 4:48오후
서버에 접속하는 아이피가 공격성아이피인지 알아보려고 합니다.
그래서 짧은시간동안 반복해서 같은 아이피로 접속하려고 시도하는지 테스트 해보려고 하는데
어떻게 구현해야될지 모르겠습니다.
아이피를 화면에 출력하는것까지는 구현을 하였는데
DB로 만들어서 아이피를 저장하고 비교하려고 해도 처리속도문제와 구현을 어떻게 해야될지 몰라서 고민중이고,
또 생각한것은 메모리 상에서 배열등으로 저장하여 비교하고 버리고 를 구현하고 싶은데 어떻게 해야될지
혹시 참조할만한 소스나 책이나 사이트 있는곳 아시면 부탁드리겠습니다.
이쪽으로는 처음 짜보는 소스라 감이 잘 안오네요..ㅜㅜ
화면에 아이피 출력하는것도 힘들게 했는데..
Forums:
iptables recent를 보시죠
그 외에도 많은데 일단 iptables의 recent 모듈이 가장 먼저 생각나네요.
iptablesd의 recent를 보면요
정상패킷도 차단할수 있잖아요..
정상패킷은 가능하면 건드리지 않고 비정상적인 패킷만 골라서 드롭시키려고 합니다.
프로그램으로
프로그램으로 구현하실 거라면 이렇게 하시면 간단하겠네요.
우선 ip주소값을 저장할 long (IPV6라면 간단히 long 2개) 값과 hit count 수를 저장할 long 값, 그리고 최초 시간과 최근 시간 값을 저장할 데이터 타입을 가지는 노드로 구성된 BST 자료구조를 만듭니다.
들어오는 패킷마다 ip주소값을 BST에서 검색해서 없으면 add 하고 바로 최초시간값을 초기화, 있으면 바로 그 노드에 hit count를 증가하고 최근 시간 값을 갱신. (BST의 검색은 O(logN) 밖에 소비되지 않으니까 속도부담은 안해도 될 것 같구요...)
수집이 다 끝나면 BST를 다시 hit count대로 sort. ( C#에는 SortedList라는것도 성능이 괜찮던데...)
정확한 판단을 위해 최근시간-최초시간 값을 다시 확인해 보시면 되지 않을까요.
-------------------------------------------------
$yes 4 8 15 16 23 42
-------------------------------------------------
$yes 4 8 15 16 23 42
이것도 tcpdump와
이것도 tcpdump와 python/perl/ruby 스크립트만으로 보여주실 분들이 많을 듯... 기대합니다...
-------------------------------------------------
$yes 4 8 15 16 23 42
-------------------------------------------------
$yes 4 8 15 16 23 42
댓글 달기