클라우드 관제 중, HOST IPS 로부터 발생한 이벤트
| [공격정보] | |||
| 공격명 | Apache Struts OGNL Expression Remote Code Execution | ||
| [상세로그] | |||
| 로그메시지 | Apache Struts OGNL Expression Remote Code Execution | ||
| 최초 발생 시간 | 2017-01-10 오전 xx:xx | 현재 발생 시간 | 2017-01-12 오후 xx:xx |
| 출발지 IP | 10.100.222.172 | 목적지 IP | 10.100.222.154 |
| 목적지 Port | 80 | 발생 횟수 | 8회 |
- 공격에서 공격자 IP는 목적지인 클라우드 LB(Load Balance)의 IP임이 확인.
- 출발지의 IP가 실제 Source IP가 아닌 LB 의 IP, 즉 Proxy IP이기 때문에 역추적 불가
해결 방안
- LB를 위한 내부 Proxy는 원래 서버를 대신하여 HTTP 요청을 처리하여 트래픽 분산을 하기 위해 설치하는 “Web Proxy” -> L7 Layer
- 따라서, HTTP 헤더 내에 Client IP를 삽입하는 X-Forwarded-For를 통해 L7 Web Proxy Server로 인해 origin src IP를 알 수 없는 현상을 방지할 수 있다.
'K-shield Jr. ' 카테고리의 다른 글
| 리눅스 로그정리_Access.log (0) | 2019.09.02 |
|---|---|
| 리눅스 로그 정리_UTMP/BTMP/WTMP (0) | 2019.09.02 |
| 리눅스 로그 정리 _xperlog (0) | 2019.09.02 |
| 방화벽 정책 예제 (0) | 2019.09.02 |
| Nmap Port Scanning (0) | 2019.09.02 |
