질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

아파치 로그파일 문의드립니다. (같은 페이지 반복적 접속)

작성자 정보

  • 박기홍 작성
  • 작성일

컨텐츠 정보

본문

안녕하세요.

일트래픽이 많이 나와서 로그파일을 보니... 아파치로그에 아래와 같은 로그가 계속 찍혀있습니다.

한 아이피로 같은 페이지를 몇초간격으로 지속적으로 접속하고 있는데요.

이런것이 말로만 듣던 DDOS 공격이라는 걸까요?

이거 막을려면 어떤 방법이 있을까요?

해법이 복잡하다면 어떤걸 공부해서 조치를 취해야되는지...조언 부탁드립니다.

[로그파일]

52.207.52.218 - - [12/Apr/2018:13:21:52 +0900] "GET /bbs/view.php?table=test&no=59&f_no=59&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 30706
52.207.52.218 - - [12/Apr/2018:13:22:23 +0900] "GET /bbs/view.php?table=test&no=58&f_no=58&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 28325
52.207.52.218 - - [12/Apr/2018:13:23:07 +0900] "GET /bbs/view.php?table=test&no=57&f_no=57&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 32287
52.207.52.218 - - [12/Apr/2018:13:23:38 +0900] "GET /bbs/view.php?table=test&no=56&f_no=56&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 31914
52.207.52.218 - - [12/Apr/2018:13:24:09 +0900] "GET /bbs/view.php?table=test&no=55&f_no=55&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 27387
52.207.52.218 - - [12/Apr/2018:13:24:10 +0900] "GET /bbs/view.php?table=test&no=54&f_no=54&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 29181
52.207.52.218 - - [12/Apr/2018:13:24:40 +0900] "GET /bbs/view.php?table=test&no=53&f_no=53&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 28641
52.207.52.218 - - [12/Apr/2018:13:25:11 +0900] "GET /bbs/view.php?table=test&no=52&f_no=52&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 27727
52.207.52.218 - - [12/Apr/2018:13:25:12 +0900] "GET /bbs/view.php?table=test&no=51&f_no=51&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 29279
52.207.52.218 - - [12/Apr/2018:13:25:43 +0900] "GET /bbs/view.php?table=test&no=50&f_no=50&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 28387
52.207.52.218 - - [12/Apr/2018:13:26:14 +0900] "GET /bbs/view.php?table=test&no=49&f_no=49&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 28925
52.207.52.218 - - [12/Apr/2018:13:26:45 +0900] "GET /bbs/view.php?table=test&no=48&f_no=48&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 29269
52.207.52.218 - - [12/Apr/2018:13:27:16 +0900] "GET /bbs/view.php?table=test&no=47&f_no=47&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 28931
52.207.52.218 - - [12/Apr/2018:13:27:47 +0900] "GET /bbs/view.php?table=test&no=46&f_no=46&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 27659
52.207.52.218 - - [12/Apr/2018:13:28:18 +0900] "GET /bbs/view.php?table=test&no=45&f_no=45&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 30476
52.207.52.218 - - [12/Apr/2018:13:28:19 +0900] "GET /bbs/view.php?table=test&no=44&f_no=44&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 27418
52.207.52.218 - - [12/Apr/2018:13:28:49 +0900] "GET /bbs/view.php?table=test&no=43&f_no=43&page=13&pre=11&search=&keyword=&cy= HTTP/1.1" 200 29889
52.207.52.218 - - [12/Apr/2018:13:29:20 +0900] "GET /bbs/view.php?table=test&no=42&f_no=42&page=14&pre=11&search=&keyword=&cy= HTTP/1.1" 200 28570
52.207.52.218 - - [12/Apr/2018:13:29:21 +0900] "GET /bbs/view.php?table=test&no=41&f_no=41&page=14&pre=11&search=&keyword=&cy= HTTP/1.1" 200 29399
52.207.52.218 - - [12/Apr/2018:13:29:52 +0900] "GET /bbs/view.php?table=test&no=40&f_no=40&page=14&pre=11&search=&keyword=&cy= HTTP/1.1" 200 27706
52.207.52.218 - - [12/Apr/2018:13:29:53 +0900] "GET /bbs/view.php?table=test&no=39&f_no=39&page=14&pre=11&search=&keyword=&cy= HTTP/1.1" 200 27344
52.207.52.218 - - [12/Apr/2018:13:30:24 +0900] "GET /bbs/view.php?table=test&no=38&f_no=38&page=14&pre=11&search=&keyword=&cy= HTTP/1.1" 200 27375
52.207.52.218 - - [12/Apr/2018:13:31:00 +0900] "GET /bbs/view.php?table=test&no=37&f_no=37&page=14&pre=11&search=&keyword=&cy= HTTP/1.1" 200 27285
52.207.52.218 - - [12/Apr/2018:13:31:31 +0900] "GET /bbs/view.php?table=test&no=36&f_no=36&page=14&pre=11&search=&keyword=&cy= HTTP/1.1" 200 28125
52.207.52.218 - - [12/Apr/2018:13:32:02 +0900] "GET /bbs/view.php?table=test&no=35&f_no=35&page=14&pre=11&search=&keyword=&cy= HTTP/1.1" 200 28462
52.207.52.218 - - [12/Apr/2018:13:32:33 +0900] "GET /bbs/view.php?table=test&no=34&f_no=34&page=14&pre=11&search=&keyword=&cy= HTTP/1.1" 200 30342
52.207.52.218 - - [12/Apr/2018:13:33:04 +0900] "GET /bbs/view.php?table=test&no=33&f_no=33&page=14&pre=11&search=&keyword=&cy= HTTP/1.1" 200 27263

관련자료

댓글 2

냠냠이님의 댓글

  • 냠냠이
  • 작성일
# 외국 IP 확인
$ whois 52.207.52.218
.. ...
OrgName:        Amazon Technologies Inc.
OrgId:          AT-88-Z
Address:        410 Terry Ave N.
City:          Seattle
StateProv:      WA
PostalCode:    98109
Country:        US
RegDate:        2011-12-08
Updated:        2017-01-28
.. ...


1) 방화벽에서 차단 ( 사용하는 방화벽에서 해당 IP 차단 )
Example ) iptables
.. ...
-A INPUT -s 180.67.207.175/32 -j DROP
-A INPUT -s 52.207.52.218 -j DROP
.. ....
1-1) iptables-geoip 이용하여 한국 외에 접속 차단 설정
Example ) iptables-geoip module 이용하여 한국 제외 모두 차단
.. ...
-A INPUT -p tcp -m geoip --dport 80 ! --src-cc KR -j DROP
.. ...


2) 아파치 설정에서 차단
Example ) 서버단에서 차단 하지 않고 특정 URL 에서 특정 IP만 차단 할 때
        <VirtualHost *:80>
          DocumentRoot /home/test001/www/
          ServerName test001.com
        <Directory "/home/test001/www">
        Order Deny,Allow
        Deny from 52.207.52.218
        #Deny from all 
        </Directory>


봇 공격이나 SQL Injection은 보통 해외에서 많이 오며,
해외에서 해당 사이트 접속을 하지 않아도 상관 없다면
1-1) iptables-geoip 모듈 추천 드립니다.

까만소님의 댓글

  • 까만소
  • 작성일
답변 감사드립니다.
많은 도움이 되었습니다. ^^
iptables 와 geoip를 이용해서 차단해봐야 겠네요.

공지사항


뉴스광장


  • 현재 회원수 :  59,982 명
  • 현재 강좌수 :  35,534 개
  • 현재 접속자 :  120 명