utm log - External anti spoofing

회원K   
   조회 4137   추천 0    

출발지 주소가 서버 ip이고, 목적지 주소는 여기저기 입니다.
그런데, 출발지 포트와 목적지의 포트가 달라서인지 External anti spoofing으로 분류 되어 있습니다.
어떤 경우에 이런 일이 생기는 것일까요?


- to be continue -
짧은글 일수록 신중하게.
김황중 2015-09
드신거 같네요
서버가.......

보편적으로 이런 경우는 OS나 data 내에 상주한다고
일단은 바이러스 프로그램 돌려보고
업데이트 풀로 다 해주라고 권고 합니다.....^^





PS. 하지만 권고는 권고일뿐
서버내의 웹 혹은 해킹 소스가 박혀 있지 않아도
해커들의 놀이터에 해당 ip가 노출되는 경우
이놈저놈 찔러보게 되고
서버에는 문제가 없는데도 릴레이 되는것을
UTM 등은 서버에 문제가 있어서 생기는 현상이라 로그가 나오는 경우도 있더군요.

저의 경우는 세가지....
그냥 방치 하거나
해당 ip다 막아 버리거나
아니면.... 죽여야죠. 타켓ip를......ㅡ,.ㅜ(타켓이 해커일수도 아니면 자신처럼 선량한 머신일수도 있긴 합니다....^^;;;)



일단은 서버에서의 포트부터 차단해 보시는것은 어떨까요?
아니면 패킷 분석해보시는것도 하나의 방법이긴 하고.....^^
stone92 2015-09
UTM 장비의 룰이 어떻게 동작하느냐에 따라서 제각각 달라집니다.
어떤 경우에 발생하는지를 보는 것 보다는 UTM장비의 룰을 보시는것이 나으실 겁니다.
정상적인 접속도 저렇게 탐지하는 경우도 제법 됩니다.
     
회원K 2015-09
기본 rule인데, 저런식으로 탐지하더라구요.
트래픽은 정상 트래픽 같구요.
장규식 2015-09
계속되면 패킷까보는게 가장 확실할것으로 생각됩니다..ips에 해당 패킷 캡쳐하는 기능이 있지 않나요..
     
회원K 2015-09
패킷 캡춰기능이 있습니다...
에스원에 패킷을 까서 리포팅 하라고 시켜야 하겠네요.


QnA
제목Page 2695/5723
2015-12   1760742   백메가
2014-05   5234407   정은준1
2015-09   4176   틴다음
2015-09   4459   rismm
2015-09   5671   거룡
2015-09   4520   김건우
2015-09   4138   회원K
2015-09   4463   진리당
2015-09   5641   elle
2015-09   6273   김건우
2015-09   4739   QS왕통키손…
2015-09   4536   너구리1
2015-09   3870   e5472
2015-09   6049   산골농부
2015-09   4736   나우마크
2015-09   3829   김진영JK
2015-09   5313   김건우
2015-09   4780   요로롱
2015-09   4649   랑구빙구송구
2015-09   5632   겨울나무
2015-09   6179   박초롱
2015-09   6987   안성현