°í¼öºÐµé²² DNS °ü·Ã Áú¹®µå¸³´Ï´Ù.¤Ð¤Ð
firewall-brazil.txt (328.8K), Down : 3, 03-08
firewall-paraguay.txt (6.0K), Down : 0, 03-08
증상을 보아하니 DNS 공격받는걸로 보입니다. 패킷이 크지않으니까 잘 모르고 있을거 같은데 그림과 같이 저런상태로 UDP 패킷 부하를 주면서 서비스에 문제를 일으키게 하는게 몇년전부터 이슈가 많았었습니다. 그래서 DNS 서비스 업체들이 클라우드로 배치한 경우도 많습니다.
지금 그림과 같이 대역으로 차단을 해도 계속 생기고 있는 추세입니다. 정보를 보면 알수없는 정보로도 나올정도로 쓰레기 아이피들이 감당할수 없을만큼 많습니다. 대부분이 남미 호스팅센터이거나 클라우드서비스를 하는 대역이 대부분이였습니다. 서브넷 대역으로 아주 많이 작은 패킷단위로 서비스 뻗을때까지 계속 쓰레기 트래픽을 유도합니다.
방화벽 있으면 해당 대역 리스트 전부 UDP 블랙 시키면서 써야합니다. 윈도우는 저정도로도 모니터링이 되는데 리눅스 계열은 어떻게 저런부분 찾아낼지는 잘 모르겠네요.
리눅스는
dnstop - Monitor and display DNS server traffic on your network - nixCraft (cyberciti.biz)
이걸로 모니터링 되겠네요
DNS서버 운영하면 골치아플정도로 신경쓸게 많아지는게 이부분입니다. 이런거 패치 안나오는지 아쉽긴 합니다.
그래도 이게 증폭공격이 아닌게 너무 다행이죠. 증폭공격은 대책이 없어서...
위와같은 공격 막을려고 중간에 pfsense 에서 포워드로 전달해서 네임풀이 전달하게끔 했더니 문제는 앞단에서 패킷을 다 받고 있는 단점이 존재했습니다. 어쩔수 없이 모니터링 하면서 대역을 블랙리스트에 추가해서 차단하는중입니다.
³×ÀÓ¼¹ö ¸®¼Ò½º¸ð´ÏÅ͸¦ º¸´Ï ¸»¾¸ÁֽŴë·Î ºê¶óÁú¿¡¼ ÆÐŶÀÌ °è¼Ó µé¾î¿À°íÀÖ¾ú°í
ÀÌ ¶§¹®¿¡ dns ÀÀ´äÁö¿¬ÀÌ ¹®Á¦°¡ µÇ¾ú´ø°Í °°½À´Ï´Ù.
ºê¶óÁú ipÂ÷´ÜÇÏ¿© ÇØ°á ÈÄ ÀßµÇ´Â°Í °°¾Æ ¹®Á¦ ¾ø´ÂÁö ÇÏ·çÁ¤µµ ¸ð´ÏÅ͸µ Çغ¸¸é µÉ°Í°°½À´Ï´Ù
³Ê¹« °¨»çµå¸³´Ï´Ù.