[LINUX/리눅스] CensysInspect 보안업체 UA 대상 IP 차단

Programming/기본 (Baisc) / / 2024. 12. 5. 01:49

CensysInspect 보안업체 UA 대상 IP 차단

무분별한 보안 탐지 트래픽 차단 방법

1. 개요

최근 웹사이트를 운영하면서 특정 UserAgent를 기반으로 한 무분별한 보안 탐지 요청이 급증하고 있습니다. 이러한 요청은 과도한 트래픽을 발생시키며, 정상적인 서비스 운영에 방해가 됩니다. 이를 해결하기 위해 트래픽을 탐지하는 IP 대역을 방화벽을 통해 차단하는 방법을 공유합니다.

2. 이슈 내용

  1. 문제점
    • UserAgent: "Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)"
    • 과도한 보안 탐지로 인해 서버 트래픽 과점 발생.
    • 비인가된 스캔으로 인한 서비스 안정성 저하.
  2. 추적된 IP 대역
    다음과 같은 IP 대역에서 의심스러운 요청이 발생:
    • 162.142.125.0/24
    • 167.94.138.0/24
    • 167.94.145.0/24
    • 167.94.146.0/24
    • 199.45.154.0/24
    • 199.45.155.0/24
    • 206.168.32.0/24
    • 206.168.33.0/24
    • 206.168.34.0/24
    • 206.168.35.0/24

3. 이슈 조치

무분별한 트래픽을 차단하기 위해 Linux 환경의 firewalld를 이용하여 해당 IP 대역을 블랙리스트에 추가하고, 서비스 요청을 드롭(Drop) 처리합니다.

조치 방법 (명령어)

다음 명령어를 실행하여 IP 대역을 차단합니다.

# 각 IP 대역을 방화벽에 추가
firewall-cmd --permanent --zone=blacklist --add-rich-rule="rule family=ipv4 source address=162.142.125.0/24 service name=WEB drop"
firewall-cmd --permanent --zone=blacklist --add-rich-rule="rule family=ipv4 source address=167.94.138.0/24 service name=WEB drop"
firewall-cmd --permanent --zone=blacklist --add-rich-rule="rule family=ipv4 source address=167.94.145.0/24 service name=WEB drop"
firewall-cmd --permanent --zone=blacklist --add-rich-rule="rule family=ipv4 source address=167.94.146.0/24 service name=WEB drop"
firewall-cmd --permanent --zone=blacklist --add-rich-rule="rule family=ipv4 source address=199.45.154.0/24 service name=WEB drop"
firewall-cmd --permanent --zone=blacklist --add-rich-rule="rule family=ipv4 source address=199.45.155.0/24 service name=WEB drop"
firewall-cmd --permanent --zone=blacklist --add-rich-rule="rule family=ipv4 source address=206.168.32.0/24 service name=WEB drop"
firewall-cmd --permanent --zone=blacklist --add-rich-rule="rule family=ipv4 source address=206.168.33.0/24 service name=WEB drop"
firewall-cmd --permanent --zone=blacklist --add-rich-rule="rule family=ipv4 source address=206.168.34.0/24 service name=WEB drop"
firewall-cmd --permanent --zone=blacklist --add-rich-rule="rule family=ipv4 source address=206.168.35.0/24 service name=WEB drop"

# 설정을 적용
firewall-cmd --reload

 

 

조치 결과

  1. 차단된 IP 대역에서 더 이상 웹 서버로의 요청이 들어오지 않음.
  2. 불필요한 트래픽 감소 및 서비스 안정성 확보.

결론 및 권장 사항

  • 보안 탐지 요청은 반드시 서비스 제공자와의 사전 협의 후 이루어져야 합니다.
  • 의심스러운 트래픽이 지속될 경우, 방화벽 차단 외에도 로그 모니터링WAF(Web Application Firewall) 적용을 고려하십시오.
  • 주기적으로 방화벽 규칙을 점검하여 블랙리스트 관리에 신경 쓰는 것이 중요합니다.

CensysInspect  보안업체 UA 대상 IP 차단

저작자표시 비영리 변경금지

'Programming > 기본 (Baisc)' 카테고리의 다른 글

[IPTIME] 대량 NAT-DMZ IP 및 포트 포워딩 자동화  (0) 2024.09.02
[NCAT][VPC][AWS] AWS RDS VPC Private IP 원격 접속 방법  (0) 2024.07.13
[APM/제니퍼,스카우터 등] Class Redefine 으로 인한 장애현상  (0) 2024.06.27
[톰캣/AJP] X-Requested-With 헤더 상이한 현상  (0) 2024.06.18
[오라클/Oracle] RecoverableException 리눅스 Random vs URandom 차이  (0) 2024.06.17
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기
Programming/기본 (Baisc) 관련 글
글 더보기

티스토리툴바