SYN FLOODING..공격해소하기SYN FLOODING..공격해소하기
페이지 정보
작성자 MintState 댓글 0건 조회 17,479회 작성일 08-11-10 12:56본문
SYN FLOODING..공격해소하기
작성자 : 이재민
가끔 도스공격이란말 많이들 들어보셨지요 ?
흠 저도 예전에 외부에서 도스공격을 해서..조금 머리를 감쌀때가있어서..
팁이라고 올립니다.
서비스 거부공격이라고 ..보통 80번 포트가 밥이져!!!
간혹가다 텔넷포트나 머 기타등등..그런포트를 괴롭히는경우도 이꾸요.
이중에서 SYN Attack에 대해서...
이놈은 아주 무식하게 계속 접속을 해서..서버를 힘들게 하는 아주 고약스런넘이져 ㅡㅡ;;; 이런말 써도되낭?
이놈이 특징이 백로크큐가 꽉차도 해당 포트만 접속이 안되고 다른 포트는 이상이 없으니..
관리자가 파악하기가 힘들죠 ...저도 고생을조금 했었다능 ...
공격 소스가 꽤 돌아다니던데.지금은 잠잠하네요.
일단 본론..
갑자기서버가 느려지거나 접속이 안될경우에는...
첫번쨰가 로그파일의 크기를 확인해와뱌겠지만....그게 이상이 없을경우에는 도스공격도 한번 의심을 해보시길..
먼저 공격 확인은
이런식으로 쭈욱..뜨는데..젤루 왼쪽에 SYN_RECV 이거 보이져? 저런 상태가 표시되면..도스공격입니다.
이놈은 공격한 아이피를랜덤으로 파악하지 못하게 해버리니...꽤 까다로운 놈이져..
흠흠
암튼 확인은 저런식으로 하구요..
이제 어떻게든 저런공격을 조금이라도 해소를..해봐야 겠지요..
몇가지 방법이 있는데 한 3가지만..주절 거릴꼐요
1번쨰는 백로크 큐를 늘려 주는겁니다.
시스템 메모리가 예를 들어 128이면 128로 설정하고 그이상인경우에는 1024로 설정해주세요
흠 하지만 이것도 계속적으로 공격을 당하면 로그큐를 늘려 주더라도...꽉차게 되겠지요~
아 ..늘려주는법 써드려여?
#sysctl -w net.ipv4.tcp_max_syn_backlog=1024
#echo 1024 > /proc/sys/net/ipv4/tcp_max_sys_backlog
머 이런식으로.해주심되지요
2번째는..syscookies기능을 활성화 시켜버리는거.
먼저 서버가 기능이 활성화 되있는지 확인은
#/sbin/sysctl -a | grep syncookies
net.ipv4.tcp_syncookies = 0
이렇게 되있으면 비활성화 된겁니다...이럴때는.
#/sbin/sysctl -w net.ipv4.tcp_syncookies=1
net.ipv4.tcp_syncookies = 1
활성화되져~
3번쨰는 비정상적인 IP 패킷을 모조리 막아 버리는거죵..................ㅡㅡ;;; 노가대..
iptable이나 ipchain 써가지구 사설아이피나 기타등등 아이피를 다 막아버리세욤..
작성자 : 이재민
가끔 도스공격이란말 많이들 들어보셨지요 ?
흠 저도 예전에 외부에서 도스공격을 해서..조금 머리를 감쌀때가있어서..
팁이라고 올립니다.
서비스 거부공격이라고 ..보통 80번 포트가 밥이져!!!
간혹가다 텔넷포트나 머 기타등등..그런포트를 괴롭히는경우도 이꾸요.
이중에서 SYN Attack에 대해서...
이놈은 아주 무식하게 계속 접속을 해서..서버를 힘들게 하는 아주 고약스런넘이져 ㅡㅡ;;; 이런말 써도되낭?
이놈이 특징이 백로크큐가 꽉차도 해당 포트만 접속이 안되고 다른 포트는 이상이 없으니..
관리자가 파악하기가 힘들죠 ...저도 고생을조금 했었다능 ...
공격 소스가 꽤 돌아다니던데.지금은 잠잠하네요.
일단 본론..
갑자기서버가 느려지거나 접속이 안될경우에는...
첫번쨰가 로그파일의 크기를 확인해와뱌겠지만....그게 이상이 없을경우에는 도스공격도 한번 의심을 해보시길..
먼저 공격 확인은
이런식으로 쭈욱..뜨는데..젤루 왼쪽에 SYN_RECV 이거 보이져? 저런 상태가 표시되면..도스공격입니다.
이놈은 공격한 아이피를랜덤으로 파악하지 못하게 해버리니...꽤 까다로운 놈이져..
흠흠
암튼 확인은 저런식으로 하구요..
이제 어떻게든 저런공격을 조금이라도 해소를..해봐야 겠지요..
몇가지 방법이 있는데 한 3가지만..주절 거릴꼐요
1번쨰는 백로크 큐를 늘려 주는겁니다.
시스템 메모리가 예를 들어 128이면 128로 설정하고 그이상인경우에는 1024로 설정해주세요
흠 하지만 이것도 계속적으로 공격을 당하면 로그큐를 늘려 주더라도...꽉차게 되겠지요~
아 ..늘려주는법 써드려여?
#sysctl -w net.ipv4.tcp_max_syn_backlog=1024
#echo 1024 > /proc/sys/net/ipv4/tcp_max_sys_backlog
머 이런식으로.해주심되지요
2번째는..syscookies기능을 활성화 시켜버리는거.
먼저 서버가 기능이 활성화 되있는지 확인은
#/sbin/sysctl -a | grep syncookies
net.ipv4.tcp_syncookies = 0
이렇게 되있으면 비활성화 된겁니다...이럴때는.
#/sbin/sysctl -w net.ipv4.tcp_syncookies=1
net.ipv4.tcp_syncookies = 1
활성화되져~
3번쨰는 비정상적인 IP 패킷을 모조리 막아 버리는거죵..................ㅡㅡ;;; 노가대..
iptable이나 ipchain 써가지구 사설아이피나 기타등등 아이피를 다 막아버리세욤..
|
|
댓글목록
등록된 댓글이 없습니다.
