[침해대응] 로그 분석

경향성을 보는 것 

175.209.132.54

125.129.155.88

두개를 공격IP로 생각해볼수있다.

 

뭔가 많다는건 초당으로 봤을때 많아야한다.

18시에 8000번대는 많다고 단정지을 수 없다

17시 58분에 1400번도 많다고 단정지을 수 없다

18:40:48 - 48초대에 30번 정도는 많다고 할 수 있다.

 

초당 2번 -> 논리 떨어짐

하루 기준으로 분산되어있음 -> 논리 떨어짐

 

 

 

 

--------------\

[timestamp] [사설ip] [어떤 dns서버에 요청했는지] [dns포트] [접속하려는 도메인] [레코드타입]

 

 

 

갑자기 팍 튀는 값을 볼 수 있다.

이상한 도메인

정상 도메인

 

 

 

많은 도메인에 질의하고있음

 

dns질의를 엄청많이했는데 정작 9군데에만질의를 많이 함

시간대비 질의를 얼마나 많이 할까?

지속적으로 비슷한 분포로하고있다는 것을 알 수 있다.

 

 

--------------방화벽 로그

기본 [날짜][프로토콜][flag][소스에서 보낸 패킷 개수][패킷의 바이트 수][소스IP][도착IP][소스포트][목적지포트]

 

방화벽 로그 6:12분

 

6:30 실습

인바운드 파일 아웃바운드 파일 만들어서 각각의 관점에서 이상한것을 확인

 

 

53번 포트가 많네..

 

outBound

많이 나온 주소를 보면서 한번 찾아보자

통신 횟수는 비슷해,,

 

얘가 통신이 얼마나 이루어졌을까?

바이트

패킷 개수

인도로 나가고 있음

정상

칠레 dns 쓰고있음

more확인해보니 이상한건 없어보임

 

패킷이 16000개씩 가고있음

시간이 지나도 포트를 안바꾼다. 물고 안나준다

패킷을 엄청 주고받고있음