UTM장비 대시보드에 IPS/DDoS 공격자 TOP 10에서 특정 IP에서 5.2GB (BPS) 발생하고 있는데요
나머지 IP들은 30MB정도 입니다.
UTM장비는 에스원에서 관제를 하고 있는데요 제가 취할 수 있는 조치가 어떤 건가요?
저는 방화벽에서 특정 IP, URL 차단 정도만 하고 있어서 이런 경우 어떻게 해야 할지 문의 드립니다.
나머지 IP들은 30MB정도 입니다.
UTM장비는 에스원에서 관제를 하고 있는데요 제가 취할 수 있는 조치가 어떤 건가요?
저는 방화벽에서 특정 IP, URL 차단 정도만 하고 있어서 이런 경우 어떻게 해야 할지 문의 드립니다.
7개의 답변이 있습니다.
확인하시고요. 에스원쪽에 특정ip 트래픽이 높다고 공격의심된다고 조치해 달라고 하세요. 추후에는 알람해주도록 강력 요청하시구요.
저희는 NAC에서 해당 외부 IP를 center단에 넣어 차단을 하고 있습니다.
연락을 못 받았으셨다면 관제업체가 일을 안하고 있다고 보여집니다.
파학하신 내용을 토대로 로그 확인 하시고 크래임을 거시길 바랍니다.
그리고 IP 발신지 확인 후 차단 요청 하시기 바랍니다.
실시간 대응을 못받는다면 관제의 의미가 없습니다.
wansoo | 약 6년 전
들어오는 공격인 경우에는 Whois에서 해당 IP확인하시고
관리자에게 메일 보내시고, UTM장비에서 해당 IP접근차단 하세요.
나가는 IP의 경우에는 해당 컴퓨터(보통 사설IP)를 포멧하세요.
연결하는 내부 IP가 어디인지 확인해 보고, 해당 IP 컴퓨터를 확인하고, 사용자에게 경고를 취한다든지 악성 코드 조사하거나 OS를 포멧하고 다시 설치한다거나 등등을 해야 될 것 같네요.
내부에 누군가가 대용량 화일을 다운로드/업로드 하고 있을수도 있을텐데 내부 어떤 IP에서 붙어 있는지 확인은 안되나요?
업무 관련 IP가 아니라면 우선 방화벽에서 차단을 걸고 에스원에 연락 해보시구요.
이런경우 관제사에서 먼저 연락을 주지 않나요?