공격자 IP 차단

동민0992

2018.01.30 (약 6년 전) | 0 추천 | 7개의 답변

UTM장비 대시보드에 IPS/DDoS 공격자 TOP 10에서 특정 IP에서 5.2GB (BPS) 발생하고 있는데요
나머지 IP들은 30MB정도 입니다.

UTM장비는 에스원에서 관제를 하고 있는데요 제가 취할 수 있는 조치가 어떤 건가요?
저는 방화벽에서 특정 IP, URL 차단 정도만 하고 있어서 이런 경우 어떻게 해야 할지 문의 드립니다.

7개의 답변이 있습니다.

쿨가이

0 추천 | 약 6년 전

일단 방화벽에서 해당 ip 차단하시고 방화벽기능에 보면 특정 소유자나 지역 국가 단위로 차단 가능한 기능이 있습니다.

확인하시고요. 에스원쪽에 특정ip 트래픽이 높다고 공격의심된다고 조치해 달라고 하세요. 추후에는 알람해주도록 강력 요청하시구요.

그저멍하니

0 추천 | 약 6년 전

방화벽단에서 특정 IP를 막을수 있는 기능이 있긴 합니다.
저희는 NAC에서 해당 외부 IP를 center단에 넣어 차단을 하고 있습니다.

jinution

0 추천 | 약 6년 전

관제를 받고 계시다면 관제업체에서 모를 없을 텐데요?
연락을 못 받았으셨다면 관제업체가 일을 안하고 있다고 보여집니다.
파학하신 내용을 토대로 로그 확인 하시고 크래임을 거시길 바랍니다.
그리고 IP 발신지 확인 후 차단 요청 하시기 바랍니다.

실시간 대응을 못받는다면 관제의 의미가 없습니다.

wansoo | 약 6년 전

에스원~ 영~~ 별로인거 같아요~ 별에 별것 안하는게 없죠. 가지고 있는 기술도 없으면서 온갖일에 중간에 끼어들어 마진만 챙기고 지원 받기만 더 번거롭게 만드는 경향이 있는 것 같더라구요.

yamyo

0 추천 | 약 6년 전

들어오는 공격인지? 나가는 공격인지 확인 하시고

들어오는 공격인 경우에는 Whois에서 해당 IP확인하시고
관리자에게 메일 보내시고, UTM장비에서 해당 IP접근차단 하세요.

나가는 IP의 경우에는 해당 컴퓨터(보통 사설IP)를 포멧하세요.

wansoo

0 추천 | 약 6년 전

whois 사이트를 통해서 해당 URL의 정체 부터 확인해 볼 필요가 있을 것 같고요.
연결하는 내부 IP가 어디인지 확인해 보고, 해당 IP 컴퓨터를 확인하고, 사용자에게 경고를 취한다든지 악성 코드 조사하거나 OS를 포멧하고 다시 설치한다거나 등등을 해야 될 것 같네요.

한그루

0 추천 | 약 6년 전

우선 IP 조사 해보시죠. (https://whois.kisa.or.kr/kor/whois/whois_.jsp)
내부에 누군가가 대용량 화일을 다운로드/업로드 하고 있을수도 있을텐데 내부 어떤 IP에서 붙어 있는지 확인은 안되나요?
업무 관련 IP가 아니라면 우선 방화벽에서 차단을 걸고 에스원에 연락 해보시구요.
이런경우 관제사에서 먼저 연락을 주지 않나요?

ioi

0 추천 | 약 6년 전

에스원쪽에 연락하셔서 특정 IP 쪽으로 대량 트래픽이 몰린다고 그 IP 차단해달라고 하면 될거 같습니다.