방화벽을 사용하시어 필터링하셔야 합니다.

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

TIME_WAIT 수십개가 보이는 것은 TCP 연결을 끊는  4 way handshake과정에서 정상적으로 보이는 현상입니다.따라서 이것만으로 공격이다 결론내릴 수 없으며 공격인지 여부는 패킷을 capture하여 분석해 보아야 합니다. 앞단에 snort와 같은 ids가 있다면 공격 여부를 판단하는데 도움이 되실 것입니다.

그리고, DB서버는 보안상 외부에서 직접 접근하도록 허용하는 것은 위험합니다. 따라서 포트필터링 또는 방화벽등을 이용하여 1433/tcp에 접근 가능한 IP를 엄격하게 제한하시는 것이 필요합니다. 윈도우 자체에서 제공하는 필터링 기능을 이용하시거나 리눅스 기반의 iptables 방화벽을 이용하실 것을 권장합니다.  그리고, 데몬 자체가 다운되는 것은 로그등을 분석해 보아야 정확히 알 수 있을 것 같습니다.

 감사합니다.