# 전 세계가 당신의 절친에게 남용 신고를 보내도록 하는 방법 > Clean Markdown view of GeekNews topic #17489. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=17489](https://news.hada.io/topic?id=17489) - GeekNews Markdown: [https://news.hada.io/topic/17489.md](https://news.hada.io/topic/17489.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2024-10-30T09:50:23+09:00 - Updated: 2024-10-30T09:50:23+09:00 - Original source: [delroth.net](https://delroth.net/posts/spoofed-mass-scan-abuse/) - Points: 1 - Comments: 1 ## Topic Body ##### 소개 - 이 글은 보안, 네트워킹, 남용 신고와 관련된 개인적인 경험을 다루고 있음. - 저자는 자신의 서버가 악성 코드에 감염되었다는 신고를 받았으나, 조사 결과 문제가 없음을 확인했음. ##### 사건의 발단 - 저자는 Hetzner로부터 자신의 IP 주소가 남용 신고를 받았다는 이메일을 받았음. - 서버에서 비정상적인 SSH 연결 시도가 발견되었으나, 실제로는 서버에서 외부로의 연결이 아닌 외부에서 서버로의 TCP 리셋 패킷이 전송되고 있었음. ##### IP 스푸핑 - 인터넷에서 IP 스푸핑은 출발지 IP 주소를 위조하여 패킷을 보내는 행위임. - BCP38은 네트워크 간의 IP 패킷 전송 시 예상되는 IP 주소만 허용하도록 권장하지만, 모든 네트워크가 이를 따르지 않음. ##### 동기 추측 - 공격자는 출발지 IP를 위조하여 포트 22로 연결 요청을 보내고, 이로 인해 자동화된 남용 신고가 발생함. - 이는 Tor 네트워크의 일부 노드를 대상으로 한 공격일 가능성이 있음. ##### Tor 연결 - Tor 릴레이는 익명화된 트래픽을 전달하는 역할을 하며, 외부 인터넷과 직접 연결되지 않음. - 그러나 일부 인터넷 사용자들은 Tor를 싫어하며, 이를 비활성화하려는 시도가 있을 수 있음. ##### 결론 - 인터넷은 25년 전에도 문제가 있었고, 여전히 문제가 있음. - IP 스푸핑은 여전히 문제이며, BCP38과 같은 보안 규칙이 제대로 시행되지 않음. - 이러한 남용 신고를 받을 경우, 서버가 피해자임을 호스팅 제공업체에 설명할 수 있는 방법을 알게 될 것임. ##### # GN⁺의 정리 - 이 글은 IP 스푸핑과 관련된 보안 문제를 다루며, Tor 네트워크와의 연관성을 설명함. - 인터넷 보안의 중요성과 BCP38의 필요성을 강조함. - 유사한 기능을 가진 프로젝트로는 다양한 보안 네트워크 도구들이 추천될 수 있음. ## Comments ### Comment 30552 - Author: neo - Created: 2024-10-30T09:50:23+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=41982698) - IP 스푸핑 문제는 악의적인 행위자와 무고한 사용자가 같은 변명을 사용할 수 있어 해결하기 어려움 - 인터넷은 25년 전부터 문제가 있었으며, 여전히 해결되지 않음 - 스푸핑된 IP 주소 문제는 2024년에도 여전히 존재하며, 인터넷 커뮤니티는 이를 해결하기 위한 보안 규칙을 강제하지 않음 - 과거에 기본적인 방화벽 규칙을 구현했으나, 스푸핑된 패킷으로 인해 문제가 발생했음 - 특정 IP에서 스푸핑된 패킷을 받았고, 이를 해결하기 위해 방화벽 규칙을 조정했음 - 여러 IP 주소를 운영하는 것이 중요하며, ISP가 소스 기반 필터링을 하면 다른 ISP로 변경함 - BCP38 필터링을 하지 않는 전송 제공자를 찾으면, 원하는 소스 IP로 패킷을 보낼 수 있음 - BCP38의 기원은 1998년으로 거슬러 올라가지만, 여전히 이를 구현하지 않는 네트워크 제공자가 존재함 - 스푸핑을 방지하기 위해 BCP38을 구현하지 않는 모든 AS의 트래픽을 거부하는 것이 필요함 - Tor 릴레이를 싫어하는 누군가의 이론은 가치가 없어 보임 - 악의적인 릴레이를 운영하면서 합법적인 릴레이를 제거하려는 시도일 수 있음 - 스와팅과 유사한 문제로, 확인되지 않은 문제의 출처에 대해 당국이 심각한 조치를 취하는 것에 의존함 - 차이점은 비연관된 당사자를 통해 불만을 제기한다는 점임 - 과거에 DrDoS 리플렉터를 스캔했으며, 클라우드 제공자가 대량의 불만을 받았음 - 스푸핑된 스캔 패킷을 보내는 서버는 탐지되지 않으며, 인터넷을 반복적으로 스캔할 수 있음 - 스푸핑된 패킷의 출처를 추적하는 것은 가능하지만, 전송 제공자와의 협력이 필요함 - 시스템은 단일 패킷에 대해 자동으로 남용을 보고하지 않아야 하며, 서비스 거부 수준의 트래픽일 경우에만 보고해야 함 - SSH의 경우 핸드셰이크가 발생하기 전까지는 유효한 연결 시도가 아님 - IP 스푸핑은 스와팅, 특허 트롤링, 무고한 사람을 누명 씌우기와 유사한 문제임 - 남용 보호 메커니즘을 무기로 사용하여 싫어하는 대상을 공격하는 방식임 - 당국이 약점이 되어 악의적인 행위자에 의해 무기화될 수 있음 - 공격을 하이재킹하여 모든 사람에게 패킷을 보내면, 제공자가 남용 이메일에 압도되어 공격이 작동하지 않게 할 수 있음 - 허니팟이 남용 이메일을 보내지 않거나, 제공자가 이를 필터링할 수 있음