마인크래프트 서버 로그 스팸을 막아보자 - pfcloud, pfclown, serveroverflow, shepan, schesser

마인크래프트 서버를 운용하다보면 서버에 접속하지는 않지만 로그를 꾸준히 남기는 봇이 존재합니다.
로그 메세지는 다음과 같이 나타납니다.
 

[로그 메세지]

[Server thread/INFO]: com.mojang.authlib.GameProfile@3575dda2[id=<null>,name=pfclown,properties={},legacy=false] (/193.35.18.163:55064) lost connection: Disconnected

[Server thread/INFO]: /193.35.18.163:60416 lost connection: Internal Exception: io.netty.handler.codec.DecoderException: java.io.IOException: Packet 2/0 (PacketLoginInStart) was larger than I expected, found 112 bytes extra whilst reading packet 0

 
이 봇들은 다양한 IP를 바꿔가며 접속하는데 지금까지 직접 서버를 운영하며 파악한 IP는 다음과 같습니다.
 

[로그 스팸 봇 IP]

45.128.232.206(pfcloud - https://pfcloud.io/ Premium DDoS Protection)
132.145.71.44(serveroverflow - https://sussy.dev/ Spying On Minecraft Servers Since 1998)
149.102.143.151(shepan - https://finn.sipacid.dev/)

193.35.18.1~255(끝자리만 바꿔가며 접속 시도하는 것으로 추정됨)
 - 193.35.18.92(notschesser)
 - 193.35.18.163(pfclown, hdqaciqaegqchb, afcqcaiqdcqaeh)
 - 193.35.18.165(schesser)
 - 193.35.18.210(pfclown, hdqaciqaegqchb, afcqcaiqdcqaeh)

※ 193.35.18로 시작하는 IP는 지속적으로 IP와 닉네임를 변경하는 것으로 파악되어 새로운 IP만 추가하고 닉네임은 추가하지 않겠습니다. (주로 163, 210으로 끝나는 IP를 닉네임 변경해가며 접속함)

 
이들은 서버에 직접적인 해를 가하진 않지만 다음 사진과 같이 로그를 과도하게 남겨 정상적인 서버 운영에 방해를 가합니다.
 

2023년 5월 5일 현재 직접 운영 중인 서버에서 캡쳐한 로그

 
이런 로그가 계속 뜨는 것을 차단하기 위해 ban-ip 명령어도 사용해보았지만 소용이 없었습니다.
이들을 실질적으로 차단한 방법은 방화벽을 이용한 것이었습니다.
 
1. 윈도우 설정 -> 업데이트 및 보안 -> Windows 보안 -> 방화벽 및 네트워크 보호 -> '고급 설정' 클릭
2. '인바운드 규칙' 우클릭 ->  '새 규칙' 클릭 (새 창이 열림)
3. 규칙 종류 단계에서 '사용자 지정' 선택 -> '다음' 클릭
4. 프로그램 단계에서 '모든 프로그램' 선택 -> '다음' 클릭
5. 프로토콜 및 포트 단계는 건드리지 않고 '다음' 클릭
6. 범위 단계에서 '이 규칙이 적용되는 로컬 IP 주소' 는 건드리지 않고 '이 규칙이 적용되는 원격 IP 주소'에서 '다음 IP 주소'를 클릭하고 '추가' 버튼을 눌러 차단할 IP를 추가(본문 상단에 적어둔 IP를 입력하세요) -> '다음' 클릭
7. 작업 단계에서 '연결 차단' 선택 -> '다음' 클릭
8. 프로필 단계에서 '도메인', '개인', '공용' 모두 체크(기본으로 체크되어 있음) -> '다음' 클릭
9. 이름 단계에서 '이름'에 'Minecraft Sever Spam Block'을 입력 -> '마침' 클릭
 

1. 윈도우 설정 -> 업데이트 및 보안 -> Windows 보안 -> 방화벽 및 네트워크 보호 -> '고급 설정' 클릭

2. '인바운드 규칙' 우클릭 -> '새 규칙' 클릭 (새 창이 열림)

3. 규칙 종류 단계에서 '사용자 지정' 선택 -> '다음' 클릭

4. 프로그램 단계에서 '모든 프로그램' 선택 -> '다음' 클릭

5. 프로토콜 및 포트 단계는 건드리지 않고 '다음' 클릭

6. 범위 단계에서 '이 규칙이 적용되는 원격 IP 주소'에서 '다음 IP 주소'를 클릭하고 '추가' 버튼을 눌러 차단할 IP를 추가 -> '다음' 클릭

6. IP 추가를 완료한 모습

7. 작업 단계에서 '연결 차단' 선택 -> '다음' 클릭

8. 프로필 단계에서 '도메인', '개인', '공용' 모두 체크(기본으로 체크되어 있음) -> '다음' 클릭

9. 이름 단계에서 '이름'에 'Minecraft Sever Spam Block'을 입력 -> '마침' 클릭

 
IP를 차단하는데 성공했지만 저 봇들은 어떤 이유로 저런 로그를 남기는 걸까요?
Reddit의 다양한 자료를 참고하여 다음 3가지 이유로 정리해볼 수 있었습니다. (한글 자료는 찾아볼 수 없음)
 
1. 재미 - 단순히 소유자의 재미를 위해 로그 스팸을 저지릅니다.
2. 데이터 수집 - 온라인 서버를 검색하고 통계 목적의 각종 데이터를 수집합니다. theairblow_가 소유한 ServerOverflow,  sipacid가 소유한 shepan가 해당됩니다. 
3. 광고 - 호스팅 공급자 pfcloud를 광고합니다. (웃긴 점은 pfcloud는 DDoS 서비스를 팔고 있다는 것이죠)
 

[ServerOverflow가 수집하는 데이터 - Server List Ping 사용]

1. 플레이어 목록
2. 서버 버전 및 프로토콜 버전
3. 설치된 포지 모드(모드 ID 및 버전)
4. 온라인 모드 활성화 여부(정품 이용자만 접속 가능한지)
5. 현재 및 최대 플레이어 수
6. 채팅 신고 기능 설정 여부
7. 서버 MOTD
8. 서버 아이콘

 
※ 봇들이 IP를 변경해가며 접속을 시도하고 있습니다. 추가할 IP가 있다면 댓글로 남겨주시기 바랍니다.

---

 
참고자료
1. https://www.reddit.com/r/Minecraft/comments/12ip3gd/who_is_shepan/
2. https://www.reddit.com/r/admincraft/comments/134m8gu/random_users_constantly_fake_disconnecting_from/