[상황]
특정 IP에서 불과 몇분만 조회했는데도, 타 클라이언트 IP와 달리, 호출건수가 매우 많은 클라이언트 IP가 있었다.
그래서 그 해당 IP를 차단하기 위해 네트워크 파트에서 해당 IP를 차단해달라고 요청했다. 그래서 IPS 솔루션 중 활용하는 sniper 라는 장비로 해당 client IP를 조회하고 실제 내가 소속한 회사의 IP의 dns 를 조회하여 누가 공격했는지, 확인 가능하다.
목적은 client의 특정 IP가 WAS 서버의 session을 많이 차지하여 해당 IP를 조회하고 차단해도 되는 IP인지 확인 후 차단 하는 방법이다.
침입방지를 하기 위해 IPS라는 보안 솔루션 중 sniper(스나이퍼)라는 솔루션을 활용하여 소스 및 타겟 IP를 확인하였다.
IPS의 원리는 다음의 출처를 확인해보니 설명이 간단 명료하며 좋았다.
IDS/IPS 란 무엇일까요 ?
2019년 새해가 밝았습니다 황금 돼지의 해, 올해는 또 얼마나 즐거운 일이 가득할까요 아이 죠항 2019년 첫번째 글, IDS/IPS 란 무엇일까 ? 시작하겠습니다 렛츠 고고고 ~ 1. IDS/IPS 란? IDS + 차단 기능 =
run-it.tistory.com
[2] 외부 IP를 whois 에서 검색하기
IP 조회 시 whois 와 같은 공식 사이트가 있으며, IP 나 도메인을 통해 조회가 가능하다.
물론 공인 IP 를 전제로 한 것이다.
https://domain.whois.co.kr/whois/search.php
KT의 주 DNS 와 보조 DNS 의 IP를 조회해보자
기본적으로 default 로 알고 있는게 좋은 아이피이다.
KT의 primary DNS IP : 168.126.63.1
KT의 secondary DNS IP : 168.126.63.2
cf)google
google의 primary DNS IP : 8.8.8.8
google의 secondary DNS IP : 8.8.4.4
[3] 스나이퍼 IPS 솔루션에서 소스및 타겟 IP 확인 후 해당 IP에서 공격 여부 확인
이제 sniper(스나이퍼) 라는 솔루션이 있는데, IPS 에서 소스 & 타겟 IP 에 대해서 파악하고,
어떤 공격자가 침해했는지 파악하는 기능이다.
ip를 조회해서 해당 IP 를 차단할지 조치없이 놔두어야 하는지 확인해보아야 한다.
소스 IP(출발지IP) : 공격자로 추정되는 아이피를 확인
타겟 IP (목적지 IP) : WEB/WAS 쪽이 타겟 아이피로 되어있는지 파악
파악 완료 후 해당 공격자로 추정되는 IP를 차단한다.
그 이후 session 수 및 max client 등의 높았던 수치가 조금씩 줄어들면서, 서버에 부하를 줄여준다. 그래서 안정적으로 서버가 가동될 수 있게 한다.
'OS Unix [IBM aix] > WEB WAS DB 3tier' 카테고리의 다른 글
| 주문 폭주 대비 시 영향도 (0) | 2022.06.27 |
|---|