불특정 다수의 IP에서 접근 시도를 차단 할 방법

안녕하십니까? 홍석범입니다.

몇가지 공격 트래픽의 패턴을  찾아 차단하는 방법이 있을 수 있습니다.

이를테면, 
modsecurity를 이용하여 아래와 같이 특정입력값이 없을 경우 차단하도록 설정하거나

HTTP_ACCEPT_LANGUAGE 
HTTP_CONNECTION
HTTP_ACCEPT_ENCODING

또는 modsecurity를 이용하거나 id_find.html 파일에서 
HTTP_REFERER 에 type=P와 같이 인자값이 있을 경우
차단하도록 설정하는 방법을 생각해 볼 수 있습니다.

하지만, referer의 경우 쉽게 위변조가 가능하다는 한계가 있으며
이외에는 다른 뽀족한 방법이 없는것 같습니다... 

감사합니다.

이상호 님의 글

안녕하세요?

조그마한 사이트를 하나 관리하고 있습니다.

어제 오늘 특이하게 접속카운트가 증가했길래 아파치 로그를 살펴봤는데요.

불특정 다수의 IP에서 서버내 특정 파일을 호출하더군요.

그래서 그럴때마다 기록으로 남게 했습니다.

해당 페이지에 정상적으로 접근하게 될때는

PHP_SELF : /login/_id_find.html
HTTP_REFERER : http://www.AAA.net/login/id_find.html
HTTP_HOST : www.AAA.net
HTTP_USER_AGENT : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
REMOTE_PORT : 3594
HTTP_ACCEPT_LANGUAGE : ko
HTTP_CONNECTION : Keep-Alive
HTTP_ACCEPT_ENCODING : gzip, deflate
HTTP_ACCEPT : */*
REQUEST_METHOD : POST

이러해야 하는데...

비정상적인 접근이 의심되는 연결들은

PHP_SELF : /login/_id_find.html
HTTP_REFERER : http://www.AAA.net/login/_id_find.html?type=P
HTTP_HOST : www.AAA.net
HTTP_USER_AGENT : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
REMOTE_PORT : 수시로 바뀜
HTTP_ACCEPT_LANGUAGE : 없음
HTTP_CONNECTION : 없음
HTTP_ACCEPT_ENCODING : 없음
HTTP_ACCEPT : Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1), http://www.AAA.net/login/_id_find.html?type=P,
REQUEST_METHOD : POST

입니다.

척~ 봐도 비정상적인 접근인데요.

현재는 PHP 파일에서 일부 비정상적인 값을 검출하여 서비스를 차단하고 있습니다만...

아파치 차원에서 또는 서버차원에서 막을 수 있는 방법이 없을까요?

답변을 기대해 봅니다.