타기관으로부터 침입탐지에 대한 원인파악 협조 요구 대처 (access_log 분석)

1. 타기관으로부터  침입탐지에 대한 원인 파악 협조 연락이 옵니다

이쪽에 있는 특정 IP(예. 129.255.100.x) 에서  목적지 주소(예: 211.100.100.x)와의  통신 원인 파악

피해여부를 확인해달라는 내용입니다. 

이런 메일을 보내온 이유는

129.255.100.x에서  211.100.100.x 주소로 계속된 공격시도가 탐지된 것이 원인으로 보입니다.

아래와 같은 이벤트 로그가 발생하였다고 합니다.

"(CTEST)Relay-IP-port().18100107@ 이벤트의 탐지로그를 보내드리니 확인 부탁드리겠습니다"

이면에는 '혹시 너네 서버 해킹당해서 공격 경유지로 쓰인 거 아니냐? 피해 입었는지 살펴보고 왜 우리쪽에 공격 시도를 했는지 공격시도가 아니라면 무엇인지 밝혀달라' 뜻이 있는 것 같습니다.

2.  우선  211.100.100.x  주소가 어딘지 파악해봅니다

whois.kisa.or.kr에 들어가 위 주소를 검색해봅니다

아래와 같은 해당 기관에 대한 정보가 나옵니다.

대충 뭐하는 데구나 감을 잡습니다. 왜 저기로 계속 이쪽 서버에서 공격으로 탐지되는 접속을 했을까?

3.  어떻게 129.255.100.x 여기에서 저기로 211.100.100.X로 접속을 했을까? 왜 했을까? 고민을 합니다. 우선 이쪽 웹접속 로그를 봅니다.

웹접속로그 파일 : access_log

위 로그 파일에서 목적지 주소인 211.100.100.X 를 검색해봅니다.

다음과 같이 특정 시간 대에 웹에서 이메뉴 저메뉴를 수도 없이 옮겨다니며 클릭한 것을 발견합니다.

로그로 보아 아마도  아래처럼 ① 211.100.100.X 에서 사용자가 이쪽 홈페이지에 접속을 하였고

② 뭔가 신경질적으로 짧은 시간 내에 모든 메뉴를 다 클릭하여 홈피 서버측에 다량의 request를 보냈고

③ 홈피 서버는 이에 대한 응답을  211.100.100.X 일시에 보내는 과정에서 이 reply 패킷을 공격시도로

탐지하고 이벤트를 띄운 것으로 생각이 됩니다.

4.  위  로그를 토대로 상황을 요약하여 해당 기관에게 다시 답신을 해줍니다.

    내용은 아마도 아래와 같으면 좋을 것 같습니다.

    "로그파일을 미루어볼 때 129.255.100.x 홈페이지 웹서버를 통해 목적지 211.100.100.x 에 대한 다건의 접속시도는

    해당 네트웍망의 사용자가 브라우저상에서 웹서버에 요청한  것에 대한 다량의 reply 패킷으로 보입니다"