글쓴이 : 좋은진호 ( http://coffeenix.net/ )

조회수 : 24080

	[ 이전화면 / 수정 ]   비밀번호 :
	제  목 : GeoIP 활용(아파치 웹로그에 국가코드 남기기 외) 작성자 : 좋은진호(truefeel, http://coffeenix.net/ ) 작성일 : 2008.3.18(화) 정리일 : 2008.4.20(일) 수정일 : 2008.4.23(수) MaxMind의 GeoIP 데이터를 이용해서 다음 2가지에 활용할 것이다. 1) 웹페이지에 접속한 IP가 어느 국가인지를 아파치 웹로그에 코드로 남기고, 또한 특정 웹페이지를 국가별로 접근을 제한하는 방법을 알아본다. 2) IP를 지정하면 그 IP가 어느 국가의 것인지를 알아내는 php 스크립트에 대해 알아볼 것이다. iptables에 GeoIP를 이용해서 국가별로 IP를 차단하는 것은 '6. GeoIP로 국가별 IP 차단 설정 자료'를 참고하기 바란다. 1. GeoIP C API 설치 apache의 mod_geoip 모듈이나 php의 geoip.so 모듈을 설치하기 위해서는 먼저 GeoIP C API 먼저 설치해야 한다. http://www.maxmind.com/app/c 에서 받아 설치한다.   # ./configure --prefix=/usr/local/GeoIP # make # make install   /usr/local/GeoIP/share/GeoIP/ 에 GeoIP 바이너리 포맷 파일(GeoIP.dat)이 존재한다. 현재 약 1MB. 2. apache에서 GeoIP 활용하기 http://www.maxmind.com/app/mod_geoip 에서 mod_geoip2(현재 버전 1.2.1)를 받아온다. apache는 /usr/local/www에 설치되어 있고, Apache 2.2.x 기준으로 설명한다. 아래에 -I/usr... 에서 -I는 대문자 I(아이), -lGeoIP 에서 -l 은 소문자 L(엘)이다. (브라우저 글꼴에 따라 구별이 잘 안될 수 있으니 주의) apxs 명령을 내리면 /usr/local/www/modules/mod_geoip.so 에 자동으로 설치된다.   # apxs -i -a -L/usr/local/GeoIP/lib -I/usr/local/GeoIP/include -lGeoIP -c mod_geoip.c   apache 모듈이 설치된 상태에서 phpinfo() 를 살펴보면, Apache Environment 부분에서 GEOIP_CONTINENT_CODE, GEOIP_COUNTRY_CODE, GEOIP_COUNTRY_NAME환경 변수를 볼 수 있다. apache 웹로그의 마지막칸에 국가코드를 남기는 방법을 설명한다. 로그에 국가코드를 남김으로써, 1) IP를 갖고 whois로 어느 국가인지를 찾아볼 필요가 없어지고, 2) 특정페이지를 어느 국가에서 요청하는지 통계를 뽑아볼 수도 있고, 3) 웹해킹시도를 할 때 어느 국가에서 공격하는 것인지 바로 확인할 수 있다.   <IfModule geoip_module>         GeoIPEnable On         GeoIPDBFile /usr/local/GeoIP/share/GeoIP/GeoIP.dat </IfModule> LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %{Host}i %{GEOIP_COUNTRY_CODE}e" cnxlog CustomLog logs/access_log cnxlog   위에서 %{변수명}i 형식은 요청할 때의 Header중 해당 값을 말한다. %{변수명}e 는 환경변수를 의미한다. LogFormat 설정 중에 2가지를 살펴보자. %{Host}i : 요청한 호스트명을 로그에 남긴다. 이를테면 하나의 서버에 2개 이상의 도메인을 갖고 있을 때 유용하다.            www.foobar.com, www.foobar.net, foobar.com 등의 도메인이 있을 때 어떤 도메인으로 요청했는지를 남길 수 있게 된다. %{GEOIP_COUNTRY_CODE}e : GEOIP_COUNTRY_CODE 환경변수, 즉 국가코드를 남긴다. 다음은 특정은 페이지를 지정한 국가에서 접근할 수 없도록 설정한 예이다.   <IfModule geoip_module>         GeoIPEnable On         GeoIPDBFile /usr/local/GeoIP/share/GeoIP/GeoIP.dat         <Location /data>            SetEnvIf GEOIP_COUNTRY_CODE CN blockcountry            SetEnvIf GEOIP_COUNTRY_CODE RU blockcountry            SetEnvIf GEOIP_COUNTRY_CODE TH blockcountry #          SetEnvIf GEOIP_COUNTRY_CODE KR allowcountry            <Limit GET POST>              Order Allow,Deny              Allow from all              Deny  from env=blockcountry            </Limit>         </Location> </IfModule>   위는 특정 국가만 제한하는 것인데, 반대로 특정 국가만 허용하려면 위의 내용중에 location 부분을 다음과 같이 수정하면 된다.           <Location /data>            SetEnvIf GEOIP_COUNTRY_CODE KR allowcountry            <Limit GET POST>              Order Deny,Allow              Deny  from all              Allow from env=allowcountry            </Limit>         </Location>   위의 2가지 설정(로그에 국가코드, 특정 국가 제한)이 적용된 로그 예(일부 로그는 변경 처리함)이다. 2번째 줄은 특정 국가 접속시 403 에러를 발생하며, 접근이 제한됐음을 확인할 수 있다.   125.129.xxx.xxx - - [01/Apr/2008:01:07:15 +0900] "GET /bbs/ HTTP/1.1" 200 29388 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ko; rv:1.8.1.13) Gecko/20080311 Firefox/2.0.0.13" foobar.com KR 61.243.xxx.xxx - - [01/Apr/2008:01:17:20 +0900] "GET /data/linux_base/editors.html HTTP/1.1" 403 520 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; DigExt)" foobar.com CN   3. php용 모듈 설치 apache 모듈만 설치되어 있어도, php에서 다음과 같이 접속한 곳의 국가 코드를 확인해볼 수 있다.   <? $country_code = apache_note("GEOIP_COUNTRY_CODE"); $country_name = apache_note("GEOIP_COUNTRY_NAME"); echo "$country_code<br>"; echo "$country_name<br>"; ?> [ 결과 ] KR Korea, Republic of   그러나 GeoIP php 모듈을 설치한다면 더 자세한 정보를 얻을 수 있다. apache만의 모듈로는 현재 접속한 IP의 국가코드만 알 수 있지만, php 모듈로는 본인이 원하는 IP를 지정하여 알아낼 수 있다. 또한 도메인을 지정할 수도 있는데, 이땐 도메인을 IP로 lookup한 다음에  어느 나리인지 등을 알아낸다. php 모듈을 설치해보자. http://pecl.php.net/package/geoip/ 에서 최신 GeoIP PHP extension(현재 geoip-1.0.2.tgz)을 받는다. configure할 때 php-config 명령 경로와 GeoIP의 디렉토리를 자신의 환경에 맞게 지정한다.   # phpize # ./configure  --with-php-config=/usr/local/bin/php-config --with-geoip=/usr/local/GeoIP # make # make install   php.ini 에 모듈 설정을 추가한다. 필요시에 extension_dir = "" 로 php모듈이 있는 디렉토리를 지정한다.   extension=geoip.so ... 생략 ... [geoip] geoip.custom_directory=/usr/local/GeoIP/share/GeoIP   4. php에서 GeoIP 테스트 php용 샘플 소스는 http://www.maxmind.com/download/geoip/api/php/ 에서 확인할 수 있다. 여기서는 테스트를 위해 만들어본 테스트용 소스를 소개할 것이며, 그 결과도 함께 살펴본다. * geoip_php.html 내려받기   <? // GeoIP 테스트 // // 2008.3 // by 좋은진호(truefeel, http://coffeenix.net/ ) $geoip_database_info = geoip_database_info(GEOIP_COUNTRY_EDITION); $geoip_db_filename   = geoip_db_filename(GEOIP_COUNTRY_EDITION); $all_info            = geoip_db_get_all_info(); echo "geoip_database_info = $geoip_database_info <br>\n"; echo "geoip_db_filename   = $geoip_db_filename <br>\n"; // 도메인별로 서버가 어느 국가에 위치해 있는지 알아보기 $arURL  = array(         "www.google.co.kr",         "www.daum.net",         "www.naver.com",         "www.skype.com",         "www.bbc.co.uk",         "www.badoo.com",         "mixi.jp",         "www.baidu.com",         ); foreach ( $arURL as $u ) {         $country        = geoip_country_name_by_name($u);         $country_code   = geoip_country_code_by_name($u);         $country_3code  = geoip_country_code3_by_name($u);         echo "* $u = $country, $country_code, $country_3code <br>\n"; } // echo "<pre>"; print_r($all_info); echo "</pre>"; ?>   5.참고자료 * PHP : GeoIP Functions   http://www.php.net/manual/en/ref.geoip.php * PECL :: Package :: geoip   http://pecl.php.net/package/geoip/ * GeoIP PHP API   http://www.maxmind.com/app/php * Installation of PECL extensions   http://www.php.net/manual/en/install.pecl.php 6. GeoIP로 국가별 IP 차단 설정 자료 * 국가별로 접속 차단설정을 하고자 할 때 (글 홍석범)   http://www.tt.co.kr/~antihong/documents/iptables_country.pdf * ssh dictionary attack 막기 (글 김정균)   http://my.oops.org/42 * RHEL/CentOS 에서 GeoIP kernel module 빌드 (글 김정균)   http://my.oops.org/117 * centos5 geoip patch하기   http://kldp.org/node/82983