[Step 1] CloudWatch Logs Insights를 활용한 퀵 쿼리
VPC Flow Logs가 활성화되어 있다면, CloudWatch Logs Insights가 가장 강력한 분석 도구입니다. 특정 기간을 설정하고 아래 쿼리들을 실행해 보세요.
1. 전송량 상위 10개 IP
가장 많은 데이터를 주고받은 범인을 찾습니다.
fields @timestamp, srcAddr, dstAddr, bytes | stats sum(bytes) as totalBytes by srcAddr, dstAddr | sort totalBytes desc | limit 10
팁: 내부 IP끼리의 통신이라면 특정 서비스 간 부하를 의미하고, 외부 IP라면 외부 공격이나 대규모 사용자 유입을 의미합니다.
2. 특정 기간 내 시간별 트래픽 추이 시각화
트래픽이 언제 정확히 튀었는지 그래프로 확인합니다.
stats sum(bytes) as totalBytes by bin(1m) | sort @timestamp asc
3. 가장 많이 사용된 포트(Port) 및 프로토콜
어떤 서비스가 트래픽을 점유하고 있는지 확인합니다.
fields dstPort, protocol | stats sum(bytes) as totalBytes by dstPort | sort totalBytes desc
80, 443: 일반적인 웹 트래픽 급증
3306, 5432: DB 과부하 또는 비정상적인 데이터 추출
기타 생소한 포트: 봇 공격 또는 백도어 의심
[Step 2] 공격 징후 포착 (Reject 트래픽 분석)
트래픽 급증이 보안 그룹(SG)이나 ACL에서 차단된 트래픽 때문인지 확인해야 합니다. 만약 REJECT 건수가 급증했다면 외부 공격(Port Scanning, DDoS)일 확률이 높습니다.
쿼리 목적 | 실행 쿼리 문구 |
차단된 IP 순위 | `filter action="REJECT" |
차단 사유 분석 | `filter action="REJECT" |
[Step 3] CloudWatch Contributor Insights
로그를 일일이 쿼리하기 귀찮다면, Contributor Insights를 활용해 보세요. 실시간으로 "Top Talkers"를 대시보드에 띄워줍니다.
CloudWatch 콘솔 → [Contributor Insights]로 이동합니다.
[Rule 생성] 시
VPC Flow Logs템플릿을 선택합니다.Client IP별 트래픽 양을 실시간 그래프로 모니터링합니다.이 방식은 로그를 검색하는 비용보다 저렴하며, 장애 발생 시 즉각적인 시각화가 가능하다는 장점이 있습니다.
댓글
댓글 0개
이 문서에는 댓글을 달 수 없습니다.