질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

udp flooding 공격에 대한 차단방법 요청 !!

작성자 정보

  • 홍석범 작성
  • 작성일

컨텐츠 정보

본문

안녕하십니까? 씨디네트웍스 홍석범입니다..

inbound인지 outbound 공격인지에 따라 그리고 공격량에 따라 대응방법이 달라질텐데요...
tcp이든 udp이든 rate-limit로 모두 제한설정이 가능합니다.
그러나,단순히 rate-limit와 같은 일종의 QoS이므로 정상 트래픽과 공격트래픽을 구분하지는 않습니다.  
 
대부분의 ddos 공격이 웹서버를 대상으로 발생하기 때문에 일반적으로는 상위 네트워크 장비에서 acl을 이용, udp를 차단할 수 있습니다. 그러나 정상적인 udp 서비스를 제공하는 dns와 같은 서버에 공격이 들어올때에는 정상 트래픽과 비정상 트래픽을 구별하여 차단하기 위해서는 NBA라는 기능을 제공하는 전용 anti-ddos 장비가 필요한 것이 사실입니다.    

좀 더 구체적인 공격양상을 알려주시면 도움이 되겠습니다..

감사합니다.

김영동 님의 글



iptables 기능중  connlimit 를 이용하면 tcp packet 에대한 임계치를 지정하여 late limt 를

   적용가능한 것으로 알고 있습니다..

udp packet 인 경우는  어떻게 해야 되나요??




 

관련자료

댓글 1

김영동님의 댓글

  • 김영동
  • 작성일
말씀하신 내용 이해합니다..
하지만 제가 의도하는 내용과는 조금다르네요..

저는 어떤 패턴을 기준으로 해서 packet의 정상유무를 체크해서 action 을 하기를
원하는 것이 아니라..
iplimit (지금은 connlimit 으로 변경) 를 이용하여 임의의 source ip 당 임계치를
정해서 임계치 이상분은 network 단에서 차단을 하는것이 목적입니다..

tcp는 connlimt 라는 명령어를 사용하면 가능한걸로 알고 있습니다..
iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 200 -j drop

상기와 같은방법으로 임의의 ip당 udp packet 을 제한 할 수 있는방법을 알고 싶습니다.






공지사항


뉴스광장


  • 현재 회원수 :  60,032 명
  • 현재 강좌수 :  35,777 개
  • 현재 접속자 :  68 명