티스토리

KT의 뒤죽박죽

검색하기

lsass.exe 과도한 트래픽을 발생시키는 IP 차단하기

Windows

lsass.exe 과도한 트래픽을 발생시키는 IP 차단하기

미나리나물 2021. 4. 28. 18:37

Active Directory를 올리고 얼마 후...
네트워크 모니터링에 난리가 났다. 네트워크 트래픽이 너무 많아 네트워크 전체에 과부하가 걸리고 있었다.
네트워크 트래픽을 유발하는 IP를 찾아 해당 서버에 들어가 봤더니, 별의별 IP들이 lsass 프로세스에 달라붙어서 엄청난 양의 트래픽을 발생시키고 있었다. 하지만 난리 치는 IP들이 너무 많아 일일이 차단할 수는 없었는데...
이 문제를 해결해보자.

내가 테스트한 서버 버전은 아래와 같다.

Windows 2012 R2 / Windows 2016

먼저 로컬 보안 정책을 실행해 준다.

시작 -> 실행 -> secpol.msc -> IP 보안 정책(위치: 로컬 컴퓨터)
-> 우측 빈 곳에서 마우스 우클릭 -> IP 필터 목록 및 필터 동작 관리

"IP 필터 목록 및 필터 동작 관리"에서 추가 버튼을 누른다.

이름은 원하는 대로 넣어준다. 나는 Filter_Any_389_udp 으로 입력했다.
입력 후 추가 버튼을 클릭한다.

IP 필터 마법사 실행..

여기서 "미러됨. 원본 주소와 대상 주소가 정반대 되는 패킷 연결(M)" 은 반드시 체크를 풀어줘야 한다.

원본 주소는 기본값(모든 IP 주소)로 선택

대상 주소도 기본값(모든 IP 주소)을 선택

프로토콜은 UDP로 선택

포트는 "이 포트로"에서 389 입력

마침을 클릭 해 IP 필터 마법사를 끝낸다.

이제 확인을 눌러 IP 필터 목록을 하나 만들어 준다.

위에서 만든 목록은 전체 IP가 포함되어 있는 목록이다.
하지만 위와 같이 모든 IP에 대해 UDP 389 포트를 차단하면 Active Directory의 복제에 문제가 생길 수 있다. 따라서 Active Directory가 동작하는 네트워크가 허용될 수 있도록 해당 네트워크 필터 목록을 한 개 더 만든다.

이번 필터의 이름은 Office로 만들어본다. 이름을 넣고 추가를 클릭한다.

IP 필터 마법사 시작..

아까와 마찬가지로 "미러됨. 원본 주소와 대상 주소가 정반대 되는 패킷 연결(M)" 은 반드시 체크를 풀어줘야 한다.

원본에는 차단하면 안되는 IP 또는 네트워크를 넣어준다.

대상 주소는 기본값(모든 IP 주소)을 선택

프로토콜은 UDP로 선택

포트는 "이 포트로"에서 389 입력 (또는 "모든 포트로" 를 선택해도 무방하다)

마침을 클릭 해 IP 필터 마법사를 끝낸다.

확인을 눌러 IP 필터 목록을 하나 만들어 준다.

이렇게 필터 목록이 2개 만들어 졌다. 다음은 필터 동작 관리를 만들어 준다.

필터 동작 관리에서 추가를 클릭한다.

IP 보안 필터 동작 마법사 시작...

이번 동작은 차단을 하는 필터이니 이름은 Block으로 줬다. 사실 이름은 마음대로 줘도 된다.

필터 동작은 거부를 선택한다.

거부 필터 등록 완료.

한번 더 IP 보안 필터 동작 마법사 시작

이번 동작은 허용을 하는 필터니까 이름은 Allow로 줬다.

필터 동작은 허용을 선택한다.

허용 필터 등록 완료.

두 필터 동작 등록 완료

이제 IP 보안 정책을 만들어 본다.
우측 빈곳에 마우스 우클릭 -> IP 보안 정책 만들기

IP 보안 정책 마법사 시작...

IP 보안 정책의 이름은 원하는 대로 입력하면 된다.

기본 응답 규칙은 예전 서버만 지원되므로 체크하지 않고 다음.

마법사 완료.

마법사를 완료하면 속성창이 나온다. 추가를 클릭해 준다.

IP 보안 규칙 만들기 마법사 시작

기본값으로 두고 다음

역시 기본값으로 두고 다음

IP 필터 목록에서 아까 만든 "Filter Any 389 udp"를 선택하고 다음

Filter Any 389 udp는 차단을 해야 하니 아까 만든 Block을 선택한다.

보안 규칙 마법사 완료..

차단 필터는 등록했으니, 이제 허용 필터를 등록한다. 위와 동일하게 추가를 클릭한다.

IP 보안 규칙 만들기 마법사 시작...

기본값으로 다음

기본값으로 다음

이번에는 Office를 선택하고 다음

Office는 허용하기로 했으니까 Allow 선택하고 다음

보안 규칙 마법사 완료

이렇게 두 필터 목록을 체크한다. 맨 아래 <동적> 필터는 이전 버전 전용이므로 선택하지 않아도 된다.

이제 목록에 Block 389 udp 위에서 마우스 우클릭 -> 할당을 눌러주면...

이렇게 초록색 불이 들어오면서 차단이 시작된다.

잠시 기다리면 lsass 트래픽이 없는 깨끗해진 네트워크 활동을 볼 수 있다.