흑구의 공부내용 공유

무작위 스캔공격을 조심하자!

코딩하는흑구 2021. 3. 7. 01:43

안녕하세요. 오늘은 무작위 스캔공격이라는 부분에 대해서 공유하고자 합니다.

 

일단 제가 무작위 스캔공격이라는 것을 확인할수 있던 부분은 바로 서버 포트 8080을 스프링부트 어플리케이션 포트로 열어놨고 로그파일을 하루마다 생성했기 때문에 파악할 수 있었는데요.

 

실제 저의 api 주소 호출이 아닌 웬 이상한 요청들이 오는게 아니겠나요...

 

대표적으로 /public/index.php 라던가.. /TP/index.php 라던가.. 절대 저와 함께 개발하는 클라이언트 개발자들이 호출할 주소가 아니었는데 말이죠..

 

이외에 모든 무작위 스캔공격이 의심되는 요청주소는 아래의 링크에서 확인해보세요!!

chinsun9.github.io/2020/11/10/%EB%AC%B4%EC%9E%91%EC%9C%84-%EC%8A%A4%EC%BA%94%EA%B3%B5%EA%B2%A9/

 

무작위 스캔 공격?

24시간 express로 웹앱을 켜놓은 적이 있다. log를 보니까 이상한 경로의 요청이 많이 있었다. 스캔 로그 특징 무료 도메인과 ELB를 연결해둬서 도메인을 통한 접속과, ec2 ip를 통합 접속을 구분 할 수

chinsun9.github.io

 

일단 저같은 경우는 가장 대중적인 포트은 8080 포트를 열어놨기 때문에 이러한 무작위 스캔공격에 노출된 것으로 생각되는데요. 예방법으로는 API 주소의 depth를 좀더 세분화하거나 포트를 일반적이지 않은 포트로 열어 놓으면 좀 나아질 거라 생각한다..

 

세상에 나쁜놈들도 참 많고 이에 대비해야할 것도 참 많다.