현재 사무실에서 Mikrotik 장비에 공인 IP를 주고
사무실내 PC들은 내부 IP를 받아서 사용중인데요. 얼마전부터 뭔가 이상한 접속이 자꾸 들어오는듯해서
현재 국내 IP가 아닌 모든 해외 IP에 대해서 막아놓고 Log를 보고 있는데
보통 2가지의 접속이 있는것 같습니다.
첫번째는 src-mac xx:xx:xx:xx:xx:xx, proto UDP, xxx.xxx.xxx.xxx:포트번호 -> zzz.zzz.zzz.zzz(공인ip):53 len 71
이거는 DNS에 대한 요청 같은데 현재 dns 서버가 있지는 않은 상태이고요
두번째는 src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), xxx.xxx.xxx.xxx:포트번호 -> yyy.yyy.yyy.yyy(내부ip):포트번호(원격 데스크탑 접속을 위한 Port Forwarding 포트번호) len 48
이런식으로 접속이 대부분이 Log에 남는데요.
두번째 같은경우 사무실 내에 있는 PC에 대하여 원격접속을 시도하는것 같다는 생각도 드는데요
현재 접속시도가 이루어지는 ip를 보니 대부분 국내가 아니어서 임시로 모든 해외 IP를 막았지만
뭔가 다른 방식으로 방화벽을 설정해야 하지 않을까 하는 생각이 드네요.
해당 접속이 SYN Flood Attack인 걸까요?
µÎ¹ø°´Â Áö±Ý »ç¿ëÇϽô´ë·Î ÇØ¿Ü IPÂ÷´ÜÇϽŠ»óÅ¿¡¼ dst.port¸¦ well-known Æ÷Æ®ÀÌ¿ÜÀÇ °ÍÀ¸·Î º¯°æÇؼ »ç¿ëÇÏ¸é µÇÁö ¾ÊÀ»±î ½Í³×¿ä.
Æ÷Æ®Æ÷¿öµùÀÌ´Ï Æ÷Æ® ´Ù ¼öÁ¤ÇØ°¡¸é¼ ÇÏ¸é °á±¹ Æ÷¿öµù µÇ´Â°ÍÀÌ´Ï, ÀÌ°Å´Â ÄÄÇ»ÅÍ Ãø¿¡¼ RDP ¼³Á¤À» Çؼ µ¿ÀÏIP ¸îȸ Á¢¼Ó½Ãµµ¸é Â÷´Ü.. ¿ä·±½ÄÀ¸·Î Çغ¸½Ã´Â°Íµµ ÁÁÁö ¾ÊÀ»±î ½Í³×¿ä.