1P by neo 1달전 | favorite | 댓글 1개

소개

  • 이 글은 보안, 네트워킹, 남용 신고와 관련된 개인적인 경험을 다루고 있음.
  • 저자는 자신의 서버가 악성 코드에 감염되었다는 신고를 받았으나, 조사 결과 문제가 없음을 확인했음.

사건의 발단

  • 저자는 Hetzner로부터 자신의 IP 주소가 남용 신고를 받았다는 이메일을 받았음.
  • 서버에서 비정상적인 SSH 연결 시도가 발견되었으나, 실제로는 서버에서 외부로의 연결이 아닌 외부에서 서버로의 TCP 리셋 패킷이 전송되고 있었음.

IP 스푸핑

  • 인터넷에서 IP 스푸핑은 출발지 IP 주소를 위조하여 패킷을 보내는 행위임.
  • BCP38은 네트워크 간의 IP 패킷 전송 시 예상되는 IP 주소만 허용하도록 권장하지만, 모든 네트워크가 이를 따르지 않음.

동기 추측

  • 공격자는 출발지 IP를 위조하여 포트 22로 연결 요청을 보내고, 이로 인해 자동화된 남용 신고가 발생함.
  • 이는 Tor 네트워크의 일부 노드를 대상으로 한 공격일 가능성이 있음.

Tor 연결

  • Tor 릴레이는 익명화된 트래픽을 전달하는 역할을 하며, 외부 인터넷과 직접 연결되지 않음.
  • 그러나 일부 인터넷 사용자들은 Tor를 싫어하며, 이를 비활성화하려는 시도가 있을 수 있음.

결론

  • 인터넷은 25년 전에도 문제가 있었고, 여전히 문제가 있음.
  • IP 스푸핑은 여전히 문제이며, BCP38과 같은 보안 규칙이 제대로 시행되지 않음.
  • 이러한 남용 신고를 받을 경우, 서버가 피해자임을 호스팅 제공업체에 설명할 수 있는 방법을 알게 될 것임.

# GN⁺의 정리

  • 이 글은 IP 스푸핑과 관련된 보안 문제를 다루며, Tor 네트워크와의 연관성을 설명함.
  • 인터넷 보안의 중요성과 BCP38의 필요성을 강조함.
  • 유사한 기능을 가진 프로젝트로는 다양한 보안 네트워크 도구들이 추천될 수 있음.
Hacker News 의견
  • IP 스푸핑 문제는 악의적인 행위자와 무고한 사용자가 같은 변명을 사용할 수 있어 해결하기 어려움

    • 인터넷은 25년 전부터 문제가 있었으며, 여전히 해결되지 않음
    • 스푸핑된 IP 주소 문제는 2024년에도 여전히 존재하며, 인터넷 커뮤니티는 이를 해결하기 위한 보안 규칙을 강제하지 않음
  • 과거에 기본적인 방화벽 규칙을 구현했으나, 스푸핑된 패킷으로 인해 문제가 발생했음

    • 특정 IP에서 스푸핑된 패킷을 받았고, 이를 해결하기 위해 방화벽 규칙을 조정했음
    • 여러 IP 주소를 운영하는 것이 중요하며, ISP가 소스 기반 필터링을 하면 다른 ISP로 변경함
  • BCP38 필터링을 하지 않는 전송 제공자를 찾으면, 원하는 소스 IP로 패킷을 보낼 수 있음

    • BCP38의 기원은 1998년으로 거슬러 올라가지만, 여전히 이를 구현하지 않는 네트워크 제공자가 존재함
    • 스푸핑을 방지하기 위해 BCP38을 구현하지 않는 모든 AS의 트래픽을 거부하는 것이 필요함
  • Tor 릴레이를 싫어하는 누군가의 이론은 가치가 없어 보임

    • 악의적인 릴레이를 운영하면서 합법적인 릴레이를 제거하려는 시도일 수 있음
  • 스와팅과 유사한 문제로, 확인되지 않은 문제의 출처에 대해 당국이 심각한 조치를 취하는 것에 의존함

    • 차이점은 비연관된 당사자를 통해 불만을 제기한다는 점임
  • 과거에 DrDoS 리플렉터를 스캔했으며, 클라우드 제공자가 대량의 불만을 받았음

    • 스푸핑된 스캔 패킷을 보내는 서버는 탐지되지 않으며, 인터넷을 반복적으로 스캔할 수 있음
    • 스푸핑된 패킷의 출처를 추적하는 것은 가능하지만, 전송 제공자와의 협력이 필요함
  • 시스템은 단일 패킷에 대해 자동으로 남용을 보고하지 않아야 하며, 서비스 거부 수준의 트래픽일 경우에만 보고해야 함

    • SSH의 경우 핸드셰이크가 발생하기 전까지는 유효한 연결 시도가 아님
  • IP 스푸핑은 스와팅, 특허 트롤링, 무고한 사람을 누명 씌우기와 유사한 문제임

    • 남용 보호 메커니즘을 무기로 사용하여 싫어하는 대상을 공격하는 방식임
    • 당국이 약점이 되어 악의적인 행위자에 의해 무기화될 수 있음
  • 공격을 하이재킹하여 모든 사람에게 패킷을 보내면, 제공자가 남용 이메일에 압도되어 공격이 작동하지 않게 할 수 있음

    • 허니팟이 남용 이메일을 보내지 않거나, 제공자가 이를 필터링할 수 있음