리눅스 분류
udp flooding 공격에 대한 차단방법 요청 !!
작성자 정보
- 홍석범 작성
- 작성일
컨텐츠 정보
- 3,608 조회
- 1 댓글
- 0 추천
- 목록
본문
안녕하십니까? 씨디네트웍스 홍석범입니다..
inbound인지 outbound 공격인지에 따라 그리고 공격량에 따라 대응방법이 달라질텐데요...
tcp이든 udp이든 rate-limit로 모두 제한설정이 가능합니다.
그러나,단순히 rate-limit와 같은 일종의 QoS이므로 정상 트래픽과 공격트래픽을 구분하지는 않습니다.
대부분의 ddos 공격이 웹서버를 대상으로 발생하기 때문에 일반적으로는 상위 네트워크 장비에서 acl을 이용, udp를 차단할 수 있습니다. 그러나 정상적인 udp 서비스를 제공하는 dns와 같은 서버에 공격이 들어올때에는 정상 트래픽과 비정상 트래픽을 구별하여 차단하기 위해서는 NBA라는 기능을 제공하는 전용 anti-ddos 장비가 필요한 것이 사실입니다.
좀 더 구체적인 공격양상을 알려주시면 도움이 되겠습니다..
감사합니다.
김영동 님의 글
iptables 기능중 connlimit 를 이용하면 tcp packet 에대한 임계치를 지정하여 late limt 를
적용가능한 것으로 알고 있습니다..
udp packet 인 경우는 어떻게 해야 되나요??
관련자료
-
이전
-
다음
댓글 1
김영동님의 댓글
- 김영동
- 작성일
말씀하신 내용 이해합니다..
하지만 제가 의도하는 내용과는 조금다르네요..
저는 어떤 패턴을 기준으로 해서 packet의 정상유무를 체크해서 action 을 하기를
원하는 것이 아니라..
iplimit (지금은 connlimit 으로 변경) 를 이용하여 임의의 source ip 당 임계치를
정해서 임계치 이상분은 network 단에서 차단을 하는것이 목적입니다..
tcp는 connlimt 라는 명령어를 사용하면 가능한걸로 알고 있습니다..
iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 200 -j drop
상기와 같은방법으로 임의의 ip당 udp packet 을 제한 할 수 있는방법을 알고 싶습니다.
하지만 제가 의도하는 내용과는 조금다르네요..
저는 어떤 패턴을 기준으로 해서 packet의 정상유무를 체크해서 action 을 하기를
원하는 것이 아니라..
iplimit (지금은 connlimit 으로 변경) 를 이용하여 임의의 source ip 당 임계치를
정해서 임계치 이상분은 network 단에서 차단을 하는것이 목적입니다..
tcp는 connlimt 라는 명령어를 사용하면 가능한걸로 알고 있습니다..
iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 200 -j drop
상기와 같은방법으로 임의의 ip당 udp packet 을 제한 할 수 있는방법을 알고 싶습니다.
