새로 생성된 Debian(또는 파생) 서버 OS에서 웹 서버 보호를 설치하기 전에 a) 존재 여부를 확인하고, b) 대략적으로 정크/DoS 트래픽의 소스를 확인하고, c) 포트 80 및 443에서 정크/DoS 트래픽의 소스를 확인하는 방법은 무엇입니까? 운영 체제 보안?
배경 내 서버에 클라우드 VPS 공급자(예: DigitalOcean 등)를 사용합니다. 호스트 제공 이미지(보통 Debian 또는 Ubuntu)에서 새/일반 서버 환경을 만들고 다양한 차단 목록에서 해당 IP 주소를 확인하여 "나쁜" 서버에서 시간을 낭비하지 않는지 확인합니다. 서버가 목록에 없다고 가정하고 구축을 시작합니다. 이를 보호하고 다양한 시스템 라이브러리, 메일 서버, 웹 서버를 추가한 다음 해당 IP 주소로 전송되는 스팸 트래픽(있는 경우) 수준을 확인할 수 있습니다.
아무 문제 없이 몇 년을 보낸 후, 할당된 IPv4 주소가 약 100Mbps의 가비지 트래픽을 수신하는 웹 서버를 지난 주에 구축했습니다. 저는 빌드 프로세스가 시작되는 몇 시간 전까지만 해도 이런 일이 발생한다는 것을 몰랐습니다.뒤쪽에로그 파일의 크기가 계속해서 늘어나자 웹 서버, 웹 애플리케이션 방화벽, 서버 모니터링 도구를 설치했습니다.
웹에서 볼 수 있는 새로운 서버에 대한 첫 번째 작업은 소프트웨어 방화벽을 설치하고 최소한의 포트를 여는 것입니다. 저는 빌드 프로세스 초기(방화벽 설정 전후)에 포트 80 및 443에 대해 일종의 온전성 검사를 수행하는 데 매우 관심이 있습니다. 자격이 있는 것처럼 들리기를 바라지 않고 IP 주소가 손상된 경우(여기서는 족제비 같은 표현일 수 있음) 다른 할당된 주소부터 시작합니다.
답변1
conntrack추가 조사를 통해 나는 필요한 것을 구현했다는 사실을 발견했습니다 . 특히 conntrack -E활성 수신 연결 목록을 제공하는 것이었습니다.