DDoS 공격은 원천적으로 방어는 불가능 하지만 최소화 할 수는 있습니다.
유명 툴들의 공격 포트 차단과, 장비 대역폭을 80%정도로 제한하여, 장비가
과도한 트래픽으로 인한 Crash되는 상황을 막을수 있습니다.
아래 Cisco에서 권장하는 설정을 알아 봅시다.
! the TRINOO DDoS systems
access-list 170 deny tcp any any eq 27665 log
access-list 170 deny udp any any eq 31335 log
access-list 170 deny udp any any eq 27444 log
! the Stacheldraht DDoS system
access-list 170 deny tcp any any eq 16660 log
access-list 170 deny tcp any any eq 65000 log
! the TrinityV3 system
access-list 170 deny tcp any any eq 33270 log
access-list 170 deny tcp any any eq 39168 log
! the Subseven DDoS system and some variants
access-list 170 deny tcp any any range 6711 6712 log
access-list 170 deny tcp any any eq 6776 log
access-list 170 deny tcp any any eq 6669 log
access-list 170 deny tcp any any eq 2222 log
access-list 170 deny tcp any any eq 7000 log
ip verify unicast reverse-path interface 명령 사용
라우터로 유입되는 각각의 패킷을 검사하여 소스 IP 주소가 CEF 테이블에서 패
킷이 도착한 인터페이스를 가리키는 경로를 갖고 있지 않을 경우, 패킷을 drop
한다.
ACL(Access Control List)를 사용하여 RFC1918 address space 필터링
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
rate limit ICMP packets 기능 사용
interface xy
rate−limit output access−group 2020 3000000 512000 786000 conform−action
transmit exceed−action drop
access−list 2020 permit icmp any any echo−reply
3000000 : maximum link bandwidth
512000 : burst normal rate
786000 : burst max rate
rate limit SYN packets 사용
access−list 152 permit tcp any host eq www
access−list 153 permit tcp any host eq www established
interface {int}
rate−limit output access−group 153 45000000 100000 100000
conform−action transmit exceed−action drop
rate−limit output access−group 152 1000000 100000 100000
conform−action transmit exceed−action drop
45000000 : maximum link bandwidth
100000 : burst normal rate
100000 : burst max rate
출처 : http://itka.kr/zbxe/secprot/11875
댓글