Sending Reply 공격방어

안녕하십니까?씨디네트웍스 홍석범입니다.

올려주신 로그는 3 way handshake를 통해 정상적인 http session을 맺은 후 다량의 접속을 한 것이므로 당연히 syncookies와는 관계없습니다. 이러한 것은 소스ip를 위조할 수 없으므로

-. 짧은 시간에 다량의 접속을 하는 IP를 찾아 자동으로 차단되도록 별도의 스크립트를 짜시거나

-. iptables의 connllimit기능을 이용하시거나..

iptables -A INPUT -p tcp --dport 80 -m conn- limit --connlimit-above 12 -j REJECT --reject-with tcp-reset

-. 웹서버 대신 caching 서버로 서비스를 이용하시는 등의 방법을 이용하여 차단하셔야 합니다.

이 공격의 가장큰 약점은 IP를 위조할 수 없다는 부분이니 공격이후에라도 해당 IP를 차단해 놓으시면 재공격을 막으실 수 있습니다.

감사합니다. 

HOT 님의 글

가끔 이런 공격이 들어옵니다.

아파치 server-status 에서 보면 "W" Sending Reply 로 꽉차게 되고

모두 동일한 아이피에서 동일한 페이지에 대량으로 접속을 시도합니다.

iptables에서 아이피를 차단하는 방법말고 근본적인 대책이 없을까요?

syncookies와 mod_evasive로는 안막아지더군요....