2009. 2. 23. 18:22

DDoS 공격 최소화 (방어 방법)

DDoS 공격은 원천적으로 방어는 불가능 하지만 최소화 수는 있습니다.

유명 툴들의 공격 포트 차단과, 장비 대역폭을 80%정도로 제한하여, 장비가

과도한 트래픽으로 인한 Crash되는 상황을 막을수 있습니다.

아래 Cisco에서 권장하는 설정을 알아 봅시다.

 

! the TRINOO DDoS systems

access-list 170 deny tcp any any eq 27665 log

access-list 170 deny udp any any eq 31335 log

access-list 170 deny udp any any eq 27444 log

! the Stacheldraht DDoS system

access-list 170 deny tcp any any eq 16660 log

access-list 170 deny tcp any any eq 65000 log

! the TrinityV3 system

access-list 170 deny tcp any any eq 33270 log

access-list 170 deny tcp any any eq 39168 log

! the Subseven DDoS system and some variants

access-list 170 deny tcp any any range 6711 6712 log

access-list 170 deny tcp any any eq 6776 log

access-list 170 deny tcp any any eq 6669 log

access-list 170 deny tcp any any eq 2222 log

access-list 170 deny tcp any any eq 7000 log

 

ip verify unicast reverse-path interface 명령 사용

라우터로 유입되는 각각의 패킷을 검사하여 소스 IP 주소가 CEF 테이블에서 패

킷이 도착한 인터페이스를 가리키는 경로를 갖고 있지 않을 경우, 패킷을 drop

한다.

 

ACL(Access Control List)를 사용하여 RFC1918 address space 필터링

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

 

rate limit ICMP packets 기능 사용

interface xy

rate−limit output access−group 2020 3000000 512000 786000 conform−action

transmit exceed−action drop

access−list 2020 permit icmp any any echo−reply

 

3000000 : maximum link bandwidth

512000 : burst normal rate

786000 : burst max rate

 

rate limit SYN packets 사용

access−list 152 permit tcp any host eq www

access−list 153 permit tcp any host eq www established

interface {int}

rate−limit output access−group 153 45000000 100000 100000

conform−action transmit exceed−action drop

rate−limit output access−group 152 1000000 100000 100000

conform−action transmit exceed−action drop

 

45000000 : maximum link bandwidth

100000 : burst normal rate

100000 : burst max rate


출처 : http://itka.kr/zbxe/secprot/11875


Trackback 0 Comment 0