집 네트워크가 계속 셧다운되서 확인해보니 누가 ddos공격을 하더라구요
pc 맥 바꾸고 공유기 맥 바꾸고 윈도우 포맷해보고 통신사에 요청해서 모뎀 교체 했는데도 계속 공격이 들어와서
kt에 도움을 요청했으나 해당 ddos관련으로 매뉴얼이 없으니 도움을 줄수 없다고 하며 관공서는 kt가 처리해야 하는게 맞다고 하더라구요..
그래서 개인적으로 라도 어떻게 방화벽을 구매할려고 하는데 그 전에 이렇게 질문글을 올려봅니다 제가 어떻게 해야할까요?
안녕하세요 개인집 네트워크 보안 관련해서 질문드립니다.
14개의 답변이 있습니다.
어차피 IP로 공격하는것일테니,
DDNS는 끄고, IP만 바꿔도 될 일 아닐까 싶습니다.
통신사를 바꿔버리세요....
사용자가 할 수 있는 수단을 다 했는데도 해결이 되지 않는다면
통신사에 사용할 수 없는 환경을 제공하는 것으로 위약금 없이 해지 할 수 있을 것으로 생각되네요.
인터넷 공유기 빼내고...
요런 방화벽 한대 넣어서 사용한다면 효과 있을 걸로 보이네요.
구매는 아래 링크에서 바로 주문해도 될 것 같고요.
https://smartstore.naver.com/midas/products/5680495766?NaPm=ct%3Dks6zn5or%7Cci%3Dshopn%7Ctr%3Ddana%7Chk%3Dc8f74aa9a6b1d90f883762543fa15d546fac2543%7Ctrx%3Dundefined
방화벽 장비 업체에 관제 서비스도 신청해서 관리를 받는다면 외부 공격에 대해서 적극 대처해 줄 거라 보여지고요.
KT 등의 통신사에 관제 서비스를 신청한다면 월 사용료를 내면서 방화벽 장비에 관제 서비스까지 함께 받을 수도 있을 것 같고요.
관제 서비스를 몇개월만 받아 보면서 발생하는 문제점들을 정확히 진단하고 원인 해결한 한후에 관제 서비스는 중단해도 되지 않을까 싶기도 하고~
pingship0 | 2년 이상 전
오.. 해당 링크 판매자분에게 바로 문의 드렸습니다.
하드웨어만 판매하신다면 제가 외국에서 들여와도 되고해서요
도움 과 관심에 감사드립니다!
ddns은 큰 상관이 없을 것이고요..
mac, 내부 ip 처럼 내부 네트워크에서 사용하는 것들은 아무런 상관이 없습니다.
이미 해당 공인 IP가 타게팅되어 오토로 돌리고 있을 것으로 추측됩니다.
고로 1시간 뒤에 켜든, 하루 뒤에 켜든, 켜지는 순간 계속 접속을 시도할 것으로 보여지고요.
고정 IP를 받으셨다고 하니 공인 IP가 변경되었을 것으로 추측되는데, 당분간은 덜 할것으로 보여지네요.
그래도 공유기에서 포트포워딩 같은 거 다 없애시고요.
관리자페이지 외부에서 접속이 불가하게 설정하시고,
이정도만 하셔도 많이 줄어들거요.
그런데 다시 파일서버, 스트리밍서버 등 외부에서 접속이 가능한 서비스를 운영하시면 다시 접속 시도가 늘어날 것입니다.
어떻게 해도 인터넷을 연결하면 외부에서 접속시도가 없을 수 없습니다.
다운로드 받으면서 핑이 빠지는 건 가정용 인터넷에서 어느정도 용인될 수 있는 부분은 아닐까 생각됩니다.
pingship0 | 2년 이상 전
안그래도 해당 공인IP부분을 지적 받아서 kt 100번에 문의했지만 저는 유동ip사용자라 공인 ip가 없다는 답변만 계속 받았습니다.
핑이 빠지는 부분은 25%씩 빠져서 질문을 드렸던 부분입니다.
지금까지의 내용을 대략 정리해보면
arp관련 로그는 내부 장비에서 발생하는 것으로 보여지고요..
외부에서 들어오는 것은 집에서 운영중인 파일 서버, 스트리밍 서버 등을 운영하시기에
포트가 개방되어 있을 것이고..
외부에서 포트스캐닝으로 개방된 포트에 대한 취약점을 찾기위한 시도이거나 이미 보안에 구멍이 생겨 작성자분의 의도와 다른 용도로 사용되고 있을 수도 있습니다.
디도스라기 보다는 내외부의 복합적인 문제로 보여집니다.
외부에서 오는 것은 공인ip만 변경해도 어느정도 줄어들지만 시간문제이지 다시 동일하게 됩니다.
나스나 내부 장비들 점검이 필요할 듯 합니다.
pingship0 | 2년 이상 전
그래서 해당 포트,ip,ddns 전부 랜선 뽑고 내부망 상태에서 변경 한뒤
휴대폰으로 제가 사용하는 ddns 홈페이지에서 제 ddns를 삭제하고
다시 신청하고 셋탑까지 완전히 끈뒤 1시간 기다리고 셋탑 , 공유기만 키고 연결하니
바로 연달아 들어와서요..
물론 공유기 mac도 변경했습니다.
내부 ip, 내부 포트 및 내부에서 쓰던 id pw도 변경했구요
기존에 쓰던 pw도 대소문특문 3개이상씩 섞어서 12자 이상되구요..
그래서 kt에 지원 요청했으나 ddos나 해당 사항 관련해서 매뉴얼이 없다. 보호나라나 관공서에 문의해라.
관공서는 kt에 문의해라 경찰또한 kt에 문의해라.. 그래서 방화벽 구매할려고 시도하다가 막혀서
쉐어드IT에 글을 올리게 되었고 사이버 경찰청에 다시 질문을 해서 유해트래픽 을 kt에 뽑아달라 요청하면 kt에서 들어줘야한다 라는 답변을 받고 요청했으나 역시 묵살 당하였습니다.
대신 아시던 엔지니어 팀장분이 해당 유해트래픽건이 아닌 그전에 ddos건으로 통화 요청했던 내용으로 방문 하셨고 거기서 kt서버 관계자분에게 제가 가지고 있는 로그 일부 전송하고 답변 받은게 밑에 제가 따로 올린 로그입니다.
일단 쉐어드 IT에서 도움받은 내용따라 내부망 장비(공유기,NAS,PC)들의 ip,pw,mac등 교체할수있는건 교체하고 ddns들어가있는거 포트 개방되있는건 전부 바꾸고 최소화했으며
공유기의 경우 기존 공격에 무언가 잘못되었는지 아무리 초기화해도 내부 관리페이지가 깨저버려서 a/s입고 처리했습니다.
kt측에서는 제 집옥상에서 셋탑까지 오는 인입라인을 다시 끌어주시고 엔지니어 팀장님의 요청 및 기존 제 로그를 근거 삼아 1주일 정도 집중 관리를 위해 고정 IP부여받아 진행되었습니다.
어제자로 고정IP로 진행중이고
다운로드 받으면 핑 빠지는건 답을 못받아서 아직 해결을 못하고 있습니다
일단 어제 Kt에서 와서 확인한 결과 제가 가지고 있는 로그 일부 확인하고 1~2초안에 sk,lg,해외등에서 들어온걸 확인했고 문제가 있으니 예의주시해보자 라는 결론을 내렸습니다.
집에 인터넷 회선을 두개 사용하시나요?
iot 기기는 다른 네트워크에 물려있다고 해서 물어봅니다.
혹 두개의 인터넷 회선이 아닌 2개 이상의 공유기(라우터, L3 등)을 사용하신다면
디도스가 아니고 내부의 문제가 아닐까 합니다.
아래 댓글중에 arp boom이라고 적으셨는데 arp boom이 어떤 것인지 잘 모르겠습니다.(검색해도 잘 안나오네요.)
arp로 디도스 공격을 한다는 것도 처음 듣고, 검색해도 arp와 관련한 dos는 찾기 어렵네요.
arp라는 프로토콜이 공유기(라우터)를 넘어갈 수 없는 프로토콜입니다. 내부 네트워크에서 사용하는 프로토콜이지 외부와 통신하는 프로토콜이 아니에요.
arp관련 로그가 쌓인다고 하시니 내부에서 arp 로그를 발생시키는 장비를 먼저 찾아보세요.
혹 공유기를 2개 물리셨으면 루핑도는 건 아닌가 의심도 됩니다.
혹 인터넷 회선이 2개이고 내부에 아무것도 안 물리고 공유기의 wan 포트를 통해서 arp 로그가 쌓이면 통신사에 문의하셔서 arp가 왜 발생하는지 알아보셔야 할 듯 합니다.
pingship0 | 2년 이상 전
앗 그런가요? arp boom 이라는건 저도 상담해주신 전문가 분에게 로그 보여드리고 답변 받은 내용입니다.
그리고 kt1회선이고 유동이며 셋탑에서 라인을 나눠두었기에 다른 네트워크망에 물려두었다 했는데 제 지식이 짧아서 잘못된 단어 선택이였다면 죄송합니다.
대략 저런식으로 구성이 되어있고 AX88U 라인은 전부 유선으로 벽 단자 사용하지 않고 구성되어 있습니다.
셋탑->Kt giga쪽은 셋탑에서 기가까지 벽면 동축TV라인 따서 연결한뒤 유선으로 연결됩니다.
wansoo | 2년 이상 전
ARP Bomb의 오자인것 같습니다.
과도한 ARP 요청이 일어나게 만들어서 내부 네트워크 장비를 다운 시켜 버리는 방법이 될것 같은데...
내부에 악성 코드에 감염된 기기가 있어야만 가능한 공격 방법이 될 수 있겠네요.
내부 네트워크에 연결되어 있는 모든 기기들이 초기화된 상태라면 공격에 이용될 악성코드도 제거된 상태가 되기 때문에 ARP Bomb 공격은 어려울거라 보여지고요.
디도스가 일반 가정집에 들어온다?
단순 스캐닝이 과하게 들어오는건지 장애를 유발하기위해 디도스 공격을 하는지 명확하지 않네요
디드스는 보통 장애를 발생시켜 다른 누군가가 반사이익을 얻을 목적이 많은데 일반 가정집을 마비시켜 얻을 이익이 있을까요?
통신사에 차단이 답인데 통신사에서는 지원불가이고 집에서 장비를 바꿔봐야 임계치를 올릴수 있어도 근본적인 해결법은 아니고요
아이피를 바꿔도 계속 디도스가 들어오면 집안에 무언가가 디도스를 유도하는 허니팟역활을 하고 있을 듯 합니다
해당 장비를 먼저 찾아서 정리가 필요할 듯 합니다
중국산 iot 장비가 있거나 또는 서버돌리고 있는 건 없는지, 밖에서 집에 접속하게 포트 열어놓은 것은 없는지 등등 내부를 먼저 점검하세요
pingship0 | 2년 이상 전
넵 감사합니다 중국산 iot장비는 전부 다른 네트워크망에 물려있습니다.
서버라면 시놀로지 NAS를 통해 기본 비디오 스테이션 서버 와 파일 스테이션 서버 를 돌리고 있고 접근인원은 3명입니다.
포맷을하고 아무런 it장비 연결없이 공유기를 노트북으로 셋팅후 셋탑에 물린뒤 휴대폰으로 모니터링해도 디도스가 들어오는 결과로 봐서 지금으로 와서는 일단 공유기를 교체하는동안 다른 방법을 찾아보고 있습니다.
물론 저 상황에서 데스크탑 포맷 후 직렬로 연결했을때도 다운로드 0.7kb 업로드 880mb를 맛보았습니다.. 다른 랜카드를 사용해서 해도 동일했습니다.
공유기를 조금 비싼걸로 사용해보시는걸로 추천 드리고 싶네요~~개인ddos공격은 어떻게 막을 방법이 ㅠㅠ
pingship0 | 2년 이상 전
조금 많이 비싼거 쓰고있는데 못버티더라구요...
DDoS 공격 들어오는 건 어떻게 확인하셨나요..?
공격 들어오는 IP들 정보는 수집하지 않으셨나요?
수집한 IP 정보들도 한번 올려 봐 주실래요..?
가끔 그런 분들도 계시더군요.
FBI가 항시 자신을 감시하고 있다며 주변을 계속 살피고...
자신의 전화도 도청되고 있다며, 중요한 내용은 전화로 말하기 어렵다 그러고...
klio34 | 2년 이상 전
본문을 보니 공유기로그정도 보신거같네요 많이 답답하실듯
pingship0 | 2년 이상 전
네 이렇게 답변이 달릴거라 예상했습니다
1초에 160개 이상 의미없는 ip값으로 지속적으로 트래픽이 들어와서 인터넷이 마비되었던 적도 있고
1초에 3~5개씩 스캐닝하고 변동되는 ip들을 봤으며
제가 이해를 할수 없어서 다른 전문가 분에게 해당 로그 보여드리니 arp boom라고 하시더라구요
절 믿으시지 못한다면 어쩔수 없지요.
하지만 전 저에게 프레임이 씌워질걸 공개할만큼 인터넷이 소중하다는걸 말하고 싶었을뿐입니다.
관심 가져주셔서 감사합니다 :)
wansoo | 2년 이상 전
공유기를 비싼걸로 교체하시면 해결 될 듯합니다.
지금 사용하고 있는 공유기가 어떤 것인지는 모르겠지만...
지금 사용하고 있는 것보다 훨씬 좋은 제품으로해서 교체해 보세요.
방화벽 장비를 사용하는 것도 권장해 보고 싶고요.
성능 있는 컴퓨터에 USB LAN 카드를 추가해서 리눅스로 OS를 올려서 마스크레이드 같은 공유기 역할을 할 수 있는 서비스를 올려서 운영해 볼 것도 권장해 보고 싶고요.
pingship0 | 2년 이상 전
먼저 믿어주셔서 감사합니다 :)
현제 사용중인 공유기는 ASUS RT-AX88U 입니다.
멀린펌,정펌을 구버전 신버전 베타버전 다 테스트해봤으나 버티지 못하였고.
방화벽장비는 시스코 Firepower 1010 해당 장비를 구매할려고 하지만 개인이 구매를 못하고 해외에서 들여올수 있지만 제품의 라이센스를 유지할수 없는 문제가 있어서 고민중입니다..
그리고 마지막에 말씀해주신 부분은 제가 찾아봐야할거같네요.
관심과 믿음을 주셔서 감사합니다 :)
훔... 이 상황을 보면 의도적으로 접근 하는 거로 밖에 안 보이네요....
다른분 말씀처럼 공유기 변경하시면서 SSID 바꾸고,
SSID 가능하면 숨기시고,
통신사 요청해서 공인 IP 변경 가능하면 바꿔 보셔야 할 듯요~~~
pingship0 | 2년 이상 전
넵 SSID 숨김처리 진행하였고 공인 IP 변경 요청했습니다 :) 관심 감사드립니다.
집에 컴퓨터가 DDoS 공격을 받는다??
혹시 고정 공인 IP를 사용하시나요?
아니면 공유기의 SSID를 남들이 쉽게 알수 있는 이름으로 하고 있나요?
예를 들어 "삼성101동1701호" 등과 같이 누가 봐도 어느 아파트 몇호의 무선 인터넷인걸 알수 있게 한건가요?
아니면 공유기 제조사에서 기본 설정된 SSID를 사용하고 있는 건 아닌가요?
SSID 변경을 해 보셨나요?
공인 IP를 할당 받은 상황도 아니고, SSID를 변경한 상황이고, SSID 비밀 번호도 변경한 상황인데도 계속적으로 DDoS 공격을 받고 있다면 집안에서 사용하고 있는 기기 ( PC나 모바일 기기 등 )에 악성 코드가 작동되고 있는 상황이라고 보면 될 것 같네요.
PC와 모바일 기기들을 초기화 시켜서 원하지 않은 악성 소프트웨어가 작동하지 못하게 만들어야 하겠고요.
관공서에 문의하면 탁상 행정적인 개념으로 KT에 문의하라는 식으로 답변을 할 수도 있겠는데요.
통신사의 문제일 가능성보다는 개인이 사용하기 있는 집안 내부 기기들에 문제가 있을 가능성이 거의 확실할거라 보여지네요.
통신사에 문제가 있을 가능성도 완전히 배제하기는 어렵지만, 통신사에 문제가 있어 가정접 네트워크에 DDoS 공격을 받는 상황이라면 통신사 시스템에 심각한 문제가 있는 상황입니다. 그리고, DDoS 공격을 받고 있는 다른 개인들이 엄청 많기 때문에 통신사에서 모르고 있을리도 없을거라 생각되고요.
우선적으로 가정 내의 기기들을 하나하나 초기화 시켜 보세요.
컴퓨터, 모바일 기기, 공유기 등등을 포멧도하고, 초기화에 최신 펌웨어로 업그레이드 시키는 작업을 하고, 계정 ID, 비밀 번호 모두 변경 처리하고요.
그러고도 동일 증상이 생긴다면 전문가에게 문의를 해야할 것 같네요.
pingship0 | 2년 이상 전
SSID는 변경 및 암호처리 진행했구요.
집안에 사용하고 있는 기기 중에 해당 공유기에 접속되는 기기를 일부로 아무것도 없는 상황을 만들어도 Ddos공격이 들어오는걸 확인했습니다.
전부 최신펌웨어고 포맷도 진행해보고 공유기 초기화도 진행해봤습니다.
전문가에게 문의하기 위해 여기를 찾아봤습니다.
공유기를 바꿔보시는 것은 어떨까요?
통신사 변경은 그 이후에 알아보시면 될거 같습니다.
pingship0 | 2년 이상 전
공유기는 내일 택배로 A/S진행하기로 했습니다.
집에서 무선도 가능한데 누군가가 지속적으로
사용해서 그럴수도 있고 해킹할수도 있겠네요
무선 차단 해보시고
해당 pc도 포맷도 해보시고
만약 동일하게 공격이 들어온다면
타 통신사로 test 해보면 좋겠네요
pingship0 | 2년 이상 전
아하.. 무선도 암호걸려있고 그런데.. 공유기 초기화하고 다 암호화 걸어서 해도 그러고..
해당 pc도 포맷4번째고.. 그럼 결국 타 통신사 개통해봐야겠군요...
일단 방화벽 구매의사는 이곳저곳 요청드려봤는데.. ㅜㅜ
Genghis Khan | 2년 이상 전
개인집인데 방화벽까지라?
뭔가 중요 서비스를 하시는것 같네요
차라리 aws 서비스를 이용하는건 어떠세요?
pingship0 | 2년 이상 전
아.. 중요 서비스가 아니고 제가 가지고 있는 병이 있는데 제 애착할수 있는 곳 이자 해결할수 있는 곳이 인터넷 입니다 근데 그게 짖밟히고 계속 끊기고 못쓰니까 너무 무기력하고 좌절감을 겪고 그래서 정신과까지 다니고있습니다..