ddos 공격 형태 분석좀..

안녕하세요..항상 질문만 드리네요..

리눅스로 브리지 방화벽을 만들어 운영중인데,  tcp,udp,icmp 공격형태는 어느정도 분석하여

iptables 로 막을수 있으나..아래 로그는 아무리 봐도 어떻게 막아야 할지 대책이 없네요.

단 특정ip 에서만 들어온다면 ip 를 막으면 되겠지만, 그 ip 가 너무많고, 매번 변경이 되어

원천적으로 차단 할 방법을 찾고 있습니다. 방화벽에서 막는 방법을 알고 싶구요.

또 상위 스위치의 acl 을 이용하여 막는 방법도 있으면 좋겠네요.

아시는 분이나, 비슷한 경험 있으신 분 답글좀 부탁드립니다.

아래는 ngrep 명령으로 분석한 결과 입니다.

[root@fw ngreplog]# ngrep -qi -n 100

? 124.49.79.33 -> 58.56.xx.xx [proto 0]
  D.......WinSock 2.0.....LG@.....Y..|............#...............                                   

? 124.49.79.33 -> 58.56.xx.xx [proto 0]
  D.......WinSock 2.0.....LG@.....Y..|............#...............                                   

? 124.49.79.33 -> 58.56.xx.xx [proto 0]
  ........WinSock 2.0.....LG@.....Y..|............#...............                                   

? 211.201.255.246 -> 58.56.xx.xx [proto 0]
  @.......WinSock 2.0.....LG@. B..Y..|............#...............                                   

? 124.49.79.33 -> 58.56.xx.xx [proto 0]
  D.......WinSock 2.0.....LG@.....Y..|............#...............                                   

? 124.49.79.33 -> 58.56.xx.xx [proto 0]
  D.......WinSock 2.0.....LG@.....Y..|............#...............                                   

? 211.201.255.246 -> 58.56.xx.xx [proto 0]
  ........WinSock 2.0.....LG@. B..Y..|............#...............                                   

? 124.49.79.33 -> 58.56.xx.xx [proto 0]
  ........WinSock 2.0.....LG@.....Y..|............#...............