커피닉스, 시스템 엔지니어의 쉼터 :: 주제 보기

커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳

FAQ

검색

멤버리스트

사용자 그룹

사용자 등록하기

개인 정보

비공개 메시지를 확인하려면 로그인하십시오

로그인

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..

BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시

포트스캔 어느 정도 들어오나

커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> 나도 한마디

이전 주제 보기 :: 다음 주제 보기

글쓴이

메시지

truefeel
카페 관리자

가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올려짐: 2006.12.17 일, 9:52 pm 주제: 포트스캔 어느 정도 들어오나

커피닉스는 iptables을 이용해서 DROP시 로그를 남기도록 개인방화벽을 사용합니다.
로그 남기는 것 없이 DROP만 하는 분도 있는데, 어떤 공격이 어느 정도 시도가 있는지 모르는 답답함 속에 살지 말고
꼭 남겨서 로그 확인해보면 인터넷이 얼마나 오염됐는지 확인해보길.. ^^*
(FreeBSD에서도 ipfw에 log 설정으로 남길 수 있음)

코드:

iptables -N Drop_Log
iptables -A Drop_Log -j LOG
iptables -A Drop_Log -j DROP

iptables -A INPUT ... 생략 ... -j Drop_Log <-- 이런 룰이 몇개 쭈욱 있겠죠.

messages 등의 파일에 다음과 같은 로그가 쌓입니다.

코드:

Dec 17 21:10:35 xxxxx kernel: IN=eth0 OUT= MAC=...생략... SRC=xxx.xxx.xxx.xxx DST=yyy.yyy.yyy.yyy LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=24837 PROTO=TCP SPT=4339 DPT=139 WINDOW=64240 RES=0x00 SYN URGP=0

문득 어느정도 어느 포트로 들어오나 궁금해서, 최근 몇시간 것만 뽑은 후 awk 몇 번 돌리고, uniq, sort 이용하니
- TCP 139, TCP 1433, TCP 135등 Windows용 포트와
- vnc, radmin등이 사용하는 5800, 4899포트 등이 대부분인 걸 수치로 확인할 수 있었습니다.

코드:

71 TCP 139 (netbios-ssn)
57 TCP 1433 (ms-sql-s)
30 TCP 135 (epmap)
23 TCP 5800 (vnc)
13 TCP 4899 (radmin)
8 UDP 1026
8 TCP 445 (microsoft-ds)
7 UDP 500
6 UDP 137 (netbios-ns)
6 TCP 5900 (vnc)
6 TCP 443 (https)
5 UDP 1027
5 TCP 22 (ssh)
4 TCP 4769
3 TCP 8080 (proxy, web 등)
3 TCP 2100 (amiganetfs)
2 TCP 55055
2 TCP 1338
2 TCP 1024
2 TCP 10000 (ndmp)
1 TCP 36604
1 TCP 35092
1 TCP 3389

※ 맨 앞부터 건수, 다음 TCP/UDP, 포트

참고로 국내외의 포트스캔에 대한 정보는 다음 사이트에서 볼 수 있습니다.

http://ftp.kreonet.re.kr/flow/index.html
http://isc.sans.org/port_report.php

위로

이전 글 표시:

	커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> 나도 한마디	시간대: GMT + 9 시간(한국)
페이지 1 중 1

새로운 주제를 올릴 수 없습니다
답글을 올릴 수 없습니다
주제를 수정할 수 없습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다