[트러블 슈팅] aws waf로 외부 접근 차단하기

 

로그 기록을 모니터링 하던중

어느날 평소보다 많은 트래픽이 접속이 된 것을 확인 했다

 

 

그라파나로 확인한 결과 눈에 띄는 부하점은 없었으며

 

 

 

 

EC2에서는 특정 지점 (부하가 발생한 19:30분 ~ )

네트워크와 CPU사용률이 높아진것을 볼 수 있다.

 

 

phpinfo.php 파일에 대한 지속적인 접근으로, 서버의 설정사항을 탈취해가려는 악의적인 접근으로 의심된다.

jwt filter에서 걸렀기때문에 접근이 불가능했던것으로 판단된다.

문제사항은 로드밸런서의 보안규칙을 모든 포트로 열어놔서 생긴 문제였고.

현재는 80포트로 바꾸어 불특정한 포트의 입력을 받지않게하였다.

보안의 중요성과

 

security jwt 관련 코드를 검토하기로 결정했다.

 

 

 

 

jwt 토큰과 security에는 허용된 엔드포인트만 적용되었다

env등 필수 요소는 어떤것도 열려있지않다

 

 

 

해외 접근과

5분에 1만 트래픽을 요청하면 악의적인 요청으로 간주하고 블락을 하는 룰을 적용하였다