티스토리 뷰
2개의 아이피에서 IP-FLOODING 공격을 하는것 같다는 이메일...
패킷 덤프를 떠 보니...
2개의 아이피에 대해서 아래와 같은 패킷이 반복되는 패턴을 찾을수가 있음...
14:36:01.146222 IP 222.xxx.46.xxx.80 > xxx.157.71.xxx.51446: . ack 479 win 7504
E..(..@.?....z.my.G..P....H...i.P..P....
14:36:01.180485 IP 222.xxx.46.xxx.80 > xxx.157.71.xxx.51446: R 673:673(0) ack 479 win 7504
E..(..@.?....z.my.G..P....H...i.P..P....
14:36:01.185376 IP 222.xxx.46.xxx.80 > xxx.157.71.xxx.51459: S 3565865883:3565865883(0) ack 2049162104 win 5840 <mss 1460,nop,nop,sackOK>
E..0..@.?.m..z.my.G..P......z#.xp...............
14:36:01.191020 IP 222.xxx.46.xxx.80 > xxx.157.71.xxx.51459: . ack 479 win 6432
E..(..@.?.W..z.my.G..P......z#.VP.. 'w..
14:36:01.194310 IP 222.xxx.46.xxx.80 > xxx.157.71.xxx.51447: P 3556623077:3556623750(673) ack 69091730 win 6432
E....(@.?.K..z.my.G..P........A.P.. HD..HTTP/1.1 301 Moved Permanently
Date: Fri, 02 Apr 2010 05:44:04 GMT
Server: Apache/1.3.39 (Unix) PHP/4.4.7 mod_throttle/3.1.2
Location: http://xxxx.xxxxxxx.net/........../html/e02-w.jpg
Keep-Alive: timeout=15, max=99
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1150
http://baby0813.xxxxx.net/........../html/e02-w.jpg">here</A>.<P>
Apache/1.3.39 Server at baby0813.linkfile.net Port 80
14:58:33.138050 IP xxx.122.xx.17.80 > xxx.68.xx.226.4521: P 56346:56973(627) ack 30006 win 8576
E.....@.?....z..sD>..P..B....4..P.!..%..HTTP/1.1 301 Moved Permanently
Date: Fri, 02 Apr 2010 06:04:17 GMT
Server: Apache/1.3.33 (Unix) PHP/4.3.11
Location: http://kagtimes.153tv.com/include/board/upload/........1.JPG
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1153
http://xxx.15xxx.com/include/board/upload/........1.JPG
Apache/1.3.33 Server at kagtimes.153tv.com Port 80
서버점검을 해도 이상이 없음 이것은 mod_url 관련 버그라고 하는데......
관련 자료를 찾아보니 아래와 같은 거 같음
무한루프가 반복되면서 공격이라도 판단한듯 함...
루프가 반복되면서 계속 같은 파일이 루프백되는데 DDOS 공격과 비슷하게 패킷덤프가 보여질수 있으나
실제로 서버의 부하가 생기거나 그런 경우는 발생하지 않음.
프로그래밍이 잘못 된경우 자신이 자기를 호출하는데 루프백에 빠려서 부하가 장난아니게 올라갈수 있음
아니면 클라이언트가 특정 페이지 요청하기나 해도 그럴수 있음 (한글파일인 경우 자주 발생됨)
mod_url-apache2-1.15.tar.bz2
'Linux' 카테고리의 다른 글
| [alert] 4685#0: accept() failed (24: Too many open files) (0) | 2015.06.12 |
|---|---|
| httperf (웹 성능 퍼포먼스 테스팅) (0) | 2015.06.12 |
| [alert] (EAI 2)Name or service not known: mod_unique_id: unable to find IPv4 address of (0) | 2015.06.12 |
| cannot open shared object file: No such file or directory (0) | 2015.06.12 |
| Awstats 6.9 로그분석기 소스 설치 (0) | 2015.06.12 |
- Total
- Today
- Yesterday
- MySQL
- mariadb
- centos8
- NGINX
- gitlab
- OpenVPN
- 베이어다이나믹
- centOS7
- php
- 리눅스
- cURL
- pptp
- HAProxy
- GeoIP
- ntp
- galera
- Apache
- 인증서
- kvm
- IPSEC
- mod_security
- glusterfs
- virtualbox
- yum
- iptables
- WAF
- softether
- ssh
- L2TP
- SSL
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |