서버 운영하면서 Dos, Drdos 공격이 수시로 들어와 걱정입니다.
공격은 대부분 이런 패턴으로 들어옵니다.
프로토콜 : IPv4
길이 : 1514
정보 : Fragmented IP protocol (proto=UDP 17, off=0, ID=91bb)
이게 더더욱 힘들게 만드는건.. 트래픽은 120Mbps정도로 흘러들어오는데 (1Gbps 회선 기준) 회선 하나뿐만 아니라 제가 살고있는 동 전체가 다 인터넷이 나가버린답니다.. (KT에서 결국 장비를 하나더 끼워주고 혼자 쓰라고 하고 가더군요.)
그냥 아무런 지식도 없는데 이런 패킷보면 그냥 덜컥 DrDos라 생각하고 회선 분리하고 잠잠해지길 기다리는 방법밖에 없는데, 공격이 들어오면 다른 서버에도 전부다 피해를 보니 문제입니다..
이런 공격 유형을 막는 근본적인 방법이 있을까요?
DrDos는 L3 스위치가 있으면 대역폭이 100%로 들어오는게 아니라 막을수 있다는 소리를 얼핏 들었는데, 이게 DrDos 공격인지 단순 Dos 인지 구분도 안되고 그냥 들어오면 당하는거밖에 방법이 없어서 답답해서 글 올려봅니다.
Áý¿¡¼´Â Àý´ë ¹«¸®
¹ÌÅ©·Îƽ °øºÎÇÏ¸é ½ºÅ©¸³Æ®¸¦ »ç¿ëÇؼ ºÎÇÏ°¡ Ä¿Áö´Â IP¸¦ ÀÏÁ¤½Ã°£ ©¶ó ¹ö¸±¼ö ÀÖ½À´Ï´Ù..
(Àú´Â ±× ¼ÂÆùý¿¡ ´ëÇÏ¿© Àß ¸ð¸¨´Ï´Ù.)
±×·± ¹æȺ® Á¤µµ°¡ °³ÀÎÀÌ ÇÒ ¼ö ÀÖ´Â ÀüºÎÀÔ´Ï´Ù.
¾Æ´Ï¸é µðµµ½º ¸·¾ÆÁִ ȣ½ºÆüºñ½º°¡ Àִµ¥ ¿ª½Ã³ª µ·ÀÌ ¹®Á¦ÀÔ´Ï´Ù.
¹¹ 900¸Þ°¡ ÀÌ·¸°Ô Ç®·Î µé¾î¿À´Â °ø°ÝÀ̶ó¸é.. ±×³É °ø°Ý µé¾î¿À´Â±¸³ª.. ÇؾßÇϴµ¥ 120Mbps Á¤µµ¶ó¸é ¹º°¡ ÆÐŶ¿¡ Àåºñ °úºÎÇϸ¦ ÀÏÀ¸Å°´Â ¿äÀÎÀÌ ÀÖ°í, ±×°Å¸¦ ÇؼÒÇÒ¼ö ÀÖ´Â ¹æ¹ýÀÌ ÀÖÀ»°Å¶ó »ý°¢µË´Ï´Ù.
ÇÏÁö¸¸, ÀÌ°Ç Àåºñ ´ã´çÀÚ°¡ Áö¼ÓÀûÀ¸·Î ¸ð´ÏÅ͸µ ÇÏ¸é¼ ÇØ¾ß Çؼ ¿î¿µÀÇ ºÎ´ãµµ Å« ÆíÀÌ°í, ÀÏ¹Ý °¡Á¤ Shared ȸ¼±¿¡¼´Â Åë½Å»ç¿¡¼ ±×·± ±¸¼ºÀ» Çã¿ëÇÏÁöµµ ¾Ê½À´Ï´Ù.
DDoS Æ®·¡ÇÈÀº ¸·´Â°Ô ¾Æ´Ï¶ó, ¾Õ¿¡ ¹®Çü´ÔÀÌ ¸»¾¸ÇÏ½Å°Í Ã³·³ ±× Æ®·¡ÇÈÀ» ¼ö¿ëÇÏ´ø°¡, ¾Æ´Ï¸é ´Ù¸¥ °÷À¸·Î Èê·Á¹ö¸®´ø°¡ ÇÏ´Â ¹æ¹ý¿Ü¿¡´Â ´ë¾ÈÀÌ ¾ø½À´Ï´Ù.
¼ÖÁ÷È÷ ±Ùº»ÀûÀÎ Â÷´Ü ¹æ¹ýÀº ¾ø½À´Ï´Ù. ±â¾÷¿¡¼µµ DDoS °ø°ÝÀÌ µé¾î¿À¸é ´ëÀÀ ¹æ¹ýÀÌ ±×¶§±×¶§ Á¶±Ý¾¿ ´Ù¸¨´Ï´Ù.
Anti DDoS Àåºñ°¡ ÀÖ±â´Â Çϳª, ³»ºÎ ³×Æ®¿÷ÀÇ ¼¹ö³ª È£½ºÆ®°¡ »¸Áö ¾Êµµ·Ï ÇÏ´Â °ÍÀÌ ¸ñÀûÀÌÁö, ¼ºñ½º±îÁö Á¤»óÀûÀ¸·Î µÇ´Â °ÍÀ» ¸ñÀûÀ¸·Î ÇÏÁö´Â ¾Ê´Â °ÍÀ¸·Î ¾Ë°í ÀÖ½À´Ï´Ù. ±×¸®°í ÇØ´ç Àåºñ ¾Õ´Ü¿¡ ÀÖ´Â ³×Æ®¿öÅ© ÀåºñµéÀº ¸ðÁ¶¸® ±× ºÎÇϸ¦ ¸ö»§Çϴ°ű¸¿ä.
ÀÌÁ¦±îÁö º» °¡Àå Àú·ÅÇÏ°í È®½ÇÇÑ(!) ¹æ¹ýÀº Æ®·¡ÇÈÀ» °è¼Ó ¸ð´ÏÅ͸µÇÏ´Ù°¡ °ø°ÝÀÌ µé¾î¿À¸é ±×³É ¼±À» »Ì´Â °Í(...)À̾ú½À´Ï´Ù.
http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking ddos ¸·´Â°Í