늦은 저녁 한통의 전화를 받았다. "홈페이지랑 앱이 정보를 못불러와요.." (너무 무셥.. ㄷㄷㄷ)
주중에 추가한 CSRF 보안 기능때문에 생긴 문제인가 생각했다.
하지만 웹에서 확인했을때 접속시간이 현저히 느려졌지만 기능 자체는 문제가 없었다.
top 명령어와 nmon 명령어를 이용해서 확인해보니 apache 트래픽이 엄청나게 늘어나있었다.
그래서 /var/log/apache2/access.log 파일을 확인해 보니
1.20.101.120 - - [18/May/2019:11:24:07 +0900] "POST /login HTTP/1.1" 200 27623 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
1.179.206.89 - - [18/May/2019:11:24:07 +0900] "POST /login HTTP/1.1" 200 27624 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
103.235.199.9 - - [18/May/2019:11:24:07 +0900] "POST /login HTTP/1.1" 200 27620 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
103.234.137.78 - - [18/May/2019:11:24:07 +0900] "POST /login HTTP/1.1" 200 27624 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
103.240.210.154 - - [18/May/2019:11:24:07 +0900] "POST /login HTTP/1.1" 200 27619 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
103.235.199.72 - - [18/May/2019:11:24:08 +0900] "POST /login HTTP/1.1" 200 27627 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
103.113.104.176 - - [18/May/2019:11:24:08 +0900] "POST /login HTTP/1.1" 200 27629 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"위와 같은 알수 없는 IP에서 요청이 엄청나게 많이 들어와있었다.
DDoS 공격으로 생각하여 방어법에 대하여 찾아보고 적용 시켜보았다.
1. Apache모듈(evasive) 사용하여 방어하기
- evasive 모듈을 설치해준다.
sudo apt-get install libapache2-mod-evasive
- 설치하게 되면 /etc/apache2/mods-available/evasive.conf 를 확인할 수 있다.
- 주석을 지우고 설정값을 맞춰준다.
<IfModule mod_evasive20.c>
DOSHashTableSize 3097 #숫자를 늘리면 성능은 향상되지만, 메모리가 더욱 소비된다.
DOSPageCount 2 #IP 주소가 차단되기 전에 page interval 당 동일한 페이지에 대한 요청 수를 지정한다.
DOSSiteCount 50 #동일한 클라이언트에서 site interval당 site 접속 시도를 해당 값 이상으로 요청할 경우 차단
DOSPageInterval 1 #page interval 페이지 요청 간격으로 디폴트는 1초
DOSSiteInterval 1 #site interval 사이트 요청 간격으로 디폴트는 1초
DOSBlockingPeriod 10 #차단시간
DOSEmailNotify you@yourdomain.com
DOSSystemCommand "su - someuser -c '/sbin/... %s ...'"
DOSLogDir "/var/log/mod_evasive"
</IfModule>
- 변경 모듈을 적용시켜준다.
sudo a2enmod evasive
sudo service apache2 restart
- 적용을 하게되면 위의 제한설정에 대해 걸리는 ip에 대하여 403 을 반환하게 된다.
110.74.193.199 - - [18/May/2019:13:39:01 +0900] "POST /login HTTP/1.1" 403 6851 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
110.72.30.211 - - [18/May/2019:13:39:01 +0900] "POST /login HTTP/1.1" 403 6851 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
110.44.116.189 - - [18/May/2019:13:39:01 +0900] "POST /login HTTP/1.1" 403 6851 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
110.74.195.120 - - [18/May/2019:13:39:01 +0900] "POST /login HTTP/1.1" 403 6851 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
110.74.196.232 - - [18/May/2019:13:39:01 +0900] "POST /login HTTP/1.1" 403 6851 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
105.247.158.94 - - [18/May/2019:13:39:01 +0900] "POST /login HTTP/1.1" 403 6851 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
- 추가적으로 Log Directory가 없을 경우 www-data 소유자로 만들어 주면 된다.
2. Ubuntu의 Route 기능을 사용한 IP 접근 차단
- 해당 방법은 특정 IP가 변칙적으로 접근을 시도하거나 요청하게 될 경우 IP 자체를 서버에 대해 차단시키는 방법이다.
route #목록확인
route add -host 도메인(ip) reject #차단 IP 추가
route del -host 도메인(ip) reject #차단 IP 해제
1번의 설정만으로도 서버의 트래픽이 감소하여 정상적인 서비스 제공은 되었으나
L7 단계(apache)에서 차단하는 것보다 L4,L3 상위 단계에서 처리하는 것이 서버에는 좋을 듯 하나
현재는 해당 방법을 이용하여 설정해두었다.
'Web > Server' 카테고리의 다른 글
| [ Ubuntu ] UFW를 활용한 방화벽 설정 방법 (0) | 2019.12.05 |
|---|---|
| [ Linux ] iptables 사용한 IP 접근 차단 (3) | 2019.05.21 |
| 기존 apache에 tomcat 연동 후 spring 프로젝트 배포 (0) | 2019.04.19 |
| Ubuntu 18.04 캡쳐 명령어 (0) | 2019.04.15 |
| APACHE - Virtual Host 등록 방법 (0) | 2019.04.11 |
댓글