개인 도메인 보안 실천: 스캔 공격에서 보호 전략까지

서문

인터넷 시대에 도메인 보안은 모든 인터넷 사용자가 반드시 주목해야 할 문제가 되었습니다. 매일 수많은 자동화 도구가 인터넷의 모든 구석을 스캔하며 가능한 취약점을 찾고 있습니다. 많은 사람들이 대기업만이 공격 대상이 될 것이라고 생각하지만, 실제로는 공격 비용의 감소와 도구의 보급으로 인해 인터넷에 노출된 모든 서비스가 공격 대상이 될 수 있습니다. 도메인 보안은 개인 정보 및 데이터 보호뿐만 아니라 네트워크 서비스의 안정적인 운영을 유지하는 기초이기도 합니다. 네트워크 보안 위협이 지속적으로 진화함에 따라 완전한 도메인 보안 체계를 구축하는 것이 점점 더 중요해지고 있으며, 이것이 우리가 지속적으로 보안 실천 경험에 주목하고 공유하는 이유입니다.

실제 사례 분석

스캔 공격 사례

저는 Cloudflare에 배포한 소규모 전시 웹사이트를 운영하고 있습니다. 비록 두 개의 유효한 URL만 있지만:

• https://weread-challenge.techfetch.dev/
• https://weread-challenge.techfetch.dev/logs-collector

그러나 지속적으로 스캔 공격을 받고 있습니다.

웹사이트가 처음 런칭되었을 때, 다른 모든 URL은 404를 반환했고, 당일 홍콩 호스트가 스캔을 시작했으며, 소스 IP는 매일 바뀌었지만 대부분 홍콩에서 왔습니다. 일부 사용자가 홍콩 IP에서 접속하기 때문에 해당 지역을 직접 차단할 수 없었습니다. 이 사례는 네트워크 공격의 자동화 및 지속적 특성을 보여주며, 체계적인 도메인 보안 전략을 수립할 필요성을 상기시킵니다.

위의 모든 URL은 다양한 목적을 가진 시도이며, 제 worker는 /와 /logs-collector만 처리합니다. 이 끈질긴 시도들은 기본적으로 취약점을 찾기 위한 것입니다. 이러한 공격 시도는 Cloudflare의 무료 요청 한도를 소모할 뿐만 아니라 로그 데이터를 오염시키고 시스템 모니터링에 방해를 줍니다.

하지만 이러한 스캔이 CF 무료 요청 수를 차지하고 내 로그를 오염시키는 것은 좋지 않습니다.

나중에 다른 모든 요청에 200을 반환하고 메시지 Host on Cloudflare Worker, don't waste your time을 추가했습니다.

수정 후 스캔량이 감소했으며, 인과관계를 확신할 수는 없지만这种方法은 분명한 신호를 전달했습니다.

자체 호스트에서 실행되는 서비스의 경우, 매일 이러한 스캔을 당하고 서비스가 적시에 보안 업데이트를 하지 않으면, 결국 취약점이 스캔되어 침입당할 것입니다. 이것이 우리가 도메인 보안의 중요성을 강조하는 이유이며, 그것은 단일 공격의 성공 여부뿐만 아니라 장기적인 시스템 보안 상태에도 관련됩니다.

공격자에게 있어 이러한 공격은 매일 정해진 시간에 끊임없이 시도하는 것으로, 하나를 뚫을 수 있으면 그만이며, 기본적으로 자동화되어 있으며 장비와 시간 비용이 모두 높지 않습니다. 이것이 네트워크 공격이如此普遍한 이유를 설명하며, 공격자에게는 저비용 고수익 활동이기 때문입니다.

보안 위협 분석

공격자 특성

국경을 초월한 범행은 네트워크 공격의 일반적인 특성으로, 공격자는 다양한 지역에 공격 시설을 배치하여 추적 가능성을 낮춥니다. 자동화 도구의 광범위한 사용으로 인해 공격 비용이 크게 절감되었으며, Nmap 및 Masscan과 같은 포트 스캔 도구는 공격자의 표준 장비가 되었습니다. 공격은 일반적으로 지속적이며 비용이 매우 저렴합니다. 공격자는 풍부한 좀비 PC 자원을 보유하고 있어 IP 주소를 자주 변경하여 차단을 우회할 수 있습니다. 공격 시간은 일반적으로 심야나 공휴일에 선택되며, 이때 모니터링과 대응이 상대적으로 약할 수 있습니다.

일반적인 공격 방식

포트 스캔은 공격자의 첫 번째 단계로, 그들은 개방된 포트를 대량으로 스캔하여 SSH, RDP, MySQL 등 일반적인 서비스를 식별합니다. 취약점 스캔은 알려진 취약점이 있는 오래된 소프트웨어를 탐지하기 위한 것으로, 경로 특징과 파일명 특징을 통해 잠재적 공격 표면을 식별합니다. 또한, 공격자는 다양한 입력을 직접 구성하여 입력 검증 취약점을 통해 시스템 권한을 얻으려고 시도합니다.

보안 실천

도메인 보안防护는 서비스 유형에 따라 다른 전략을 취해야 합니다. 자용 서비스와 공개 서비스에 대해서는 완전히 다른 보호方案을采用해야 합니다.

flowchart TD
    A[도메인 서비스 배포] e1@--> B{서비스 유형 판단}
    B e2@-->|자용 서비스| C[VPN方案 선택]
    B e3@-->|공개 서비스| D[에지 보안 서비스 선택]

    C e4@--> E[내부 네트워크 DNS 구축]
    C e5@--> F[Tailscale 또는 ZeroTier 배포]
    C e6@--> G[내부 네트워크 고정 IP 접근 구성]

    D e7@--> H[Cloudflare 선택]
    D e8@--> I[알리클라우드 ESA 선택]
    D e9@--> J[WAF 및 DDoS防护 구성]

    E e10@--> K[서비스 완전히 숨기기]
    F e11@--> K
    G e12@--> K

    H e13@--> L[실제 IP 숨기기]
    I e14@--> L
    J e15@--> L

    classDef start fill:#E3F2FD,stroke:#1565C0,stroke-width:1px,color:#0D47A1;
    classDef decision fill:#FFF8E1,stroke:#EF6C00,stroke-width:1px,color:#E65100;
    classDef action fill:#E8F5E9,stroke:#2E7D32,stroke-width:1px,color:#1B5E20;
    classDef result fill:#F3E5F5,stroke:#6A1B9A,stroke-width:1px,color:#4A148C;
    classDef animate stroke:#EF6C00,stroke-width:2px,stroke-dasharray: 9\,5,stroke-dashoffset: 900,animation: dash 25s linear infinite;
    class A start;
    class B decision;
    class e1,e2,e3,e4,e5,e6,e7,e8,e9,e10,e11,e12,e13,e14,e15 animate;
    class C,D,E,F,G,H,I,J action;
    class K,L result;

VPN을 역방향 프록시 대신 사용하기

대부분의 사람들은 소프트웨어를 적시에 업그레이드하지 않습니다. 최선의 전략은 자신의 도메인을 노출하지 않는 것입니다. 스캔 공격은 접두사와 접미사를 모두 구성할 수 있으며, 다양한 하위 도메인이 시도됩니다. 하위 도메인 스캔의 주요 대상에는 nas, home, dev, test, blog, work, webdav, frp, proxy 등이 포함됩니다. 자동화된 공격을 수행하기 위해 공격자는 하위 도메인 사전을 준비하여 자동화된 테스트를 진행합니다. 이러한 일반적인 이름은 우선적으로 스캔되므로, 이러한 명백한 하위 도메인 이름을 피하는 것은 기본적인 보호 조치입니다.

자용 서비스의 경우, 역방향 프록시 대신 VPN 기술을 사용하여 서비스를 내부 네트워크에 완전히 숨길 것을 권장합니다. 로컬 네트워크용 DNS 서버를 구축할 수 있으며, 예를 들어 AdGuard Home을 사용하여 도메인 해석을 구성하고 내부 네트워크 장치가 고정 IP를 통해 접근하도록 할 수 있습니다. AdGuard Home은 DNS 서비스를 제공할 뿐만 아니라 광고 차단 및 자녀 보호 기능도 갖추고 있어 가정 네트워크 환경에서 이상적인 선택입니다. DDNS도 AdGuard Home의 API를 사용하여 구현할 수 있으며, 로컬 네트워크 환경이므로 도메인은 자신이 원하는 대로 선택할 수 있고 공개 도메인 규칙의 제한을 받지 않습니다. 이러한 방식의 장점은 서비스가 공개 네트워크에 전혀 노출되지 않아 자연스럽게 스캔 공격 위험을 피할 수 있다는 것입니다.

에지 보안 서비스 사용

공개 네트워크 접근이 필수적인 서비스의 경우, 에지 보안 서비스가 최선의 선택입니다. Cloudflare는 세계 최고 수준의 에지 보안 서비스를 제공하며, 개인 개발자가 실제로 상업적 가치가 있는 프로젝트를 찾기 전까지 무료 버전으로도 완전히 충분합니다. 국내 알리클라우드 ESA도 좋은 선택지로, 신규 사용자는 3개월 동안 무료로 사용할 수 있고, 일반 유료 요금은 루트 도메인당 월 10위안이며 50GB 트래픽이 제한됩니다. Cloudflare의 완전 무료 서비스 앞에서 ESA의 주요 장점은 중국 본토 지역에서의 접근 속도가 더 우수하다는 점입니다.

보안 서비스는 일반적으로 가격이 높지만, 보호를 하지 않으면 공격을 받을 경우 손실이 더 클 수 있습니다. 유료 보호를 선택하면 매일 직접적인 고정 지출을 보게 됩니다. 에지 보안 서비스는 일종의 보험으로, 매우 저렴하고 가성비가 극히 높아 전문가에게 전문적인 일을 맡기는 전형적인 사례입니다.

에지 보안 서비스의 주요 목적은 자신의 실제 IP를 숨기는 것입니다. 사용자는 에지 노드에 접근하며, 에지 노드는 실제 IP에 다시 접근할지 여부를 결정합니다. 그 본질은 사전에 배치된 역방향 프록시로, 캐싱, WAF, CDN, DDoS 보호 등의 기능을 통합합니다. 사용자와 서비스 사이에 제3자가 개입되므로, 이는 사용자 경험을 저하시킬 가능성이 있습니다. Cloudflare와 ESA 모두 사용해 본 결과, 요약하자면 최고의 사용자 경험을 가진 일부 사용자의 경험은 약간 저하되지만, 더 많은 지역의 사용자 경험은 향상된다는 것입니다. 전체적으로 여전히 매우 가치 있는 투자입니다.

요약

도메인 보안은 시스템 공학으로, 서비스 유형에 따라 다른 보호 전략을 취해야 합니다. 자용 서비스의 경우 VPN方案을 우선 사용하며, Tailscale 및 ZeroTier는 모두 성숙하고 신뢰할 수 있는 선택지입니다. DNS 서비스가 필요하면 내부 네트워크에 AdGuard Home을 구축할 수 있으며, 이는 광고 차단 및 자녀 보호 기능을 포함한 완전한 DNS 솔루션을 제공합니다. 공개 네트워크 접근이 필요하면 AdGuard Private을 사용하여 암호화된 DNS 해석 서비스를 제공할 수 있습니다.

공개 서비스, 즉 대중이 접근해야 하는 서비스의 경우, 에지 보안 서비스 계층을 추가하는 것이 좋습니다. Cloudflare는 세계 최고 수준의 무료 보안防护를 제공하며 대부분의 개인 개발자에게 적합합니다. 중국 본토 지역의 접근 속도를特别在意한다면 알리클라우드 ESA를 선택할 수 있으며, 이는 국내 노드 분포가 더 넓어 더 나은 현지화된 경험을 제공합니다.

어떤方案을 선택하든, 핵심은 도메인 보안 의식을 갖추고 적극적으로 보호 조치를 취하며, 공격이 발생하기를 수동적으로 기다리지 않는 것입니다. 네트워크 보안에는 만병통치약이 없으며, 자신에게 맞는 것이 최선입니다.

• ←이전
• 다음→