방화벽 Drop에 관한 질문 :: 2cpu, 지름이 시작되는 곳!

해외구매 more

쓰기

방화벽 Drop에 관한 질문

미나리나물

2016-02

2016-02-11 18:08:58

조회 8531 추천 0

안녕하세요.

우선 새해 복 많이 받으시기 바랍니다.

요즘 Cisco 방화벽을 가끔 다루면서 문득 떠오른 생각입니다.

혹시 방화벽에서 특정 포트를 Drop 또는 Deny 설정 했는데

Drop이나 Deny가 된 포트로 DDOS 공격을 날린다면 방화벽이 뻗어버릴 지,

아니면 Drop이나 Deny 시키는 트래픽은 그냥 무시되는지 질문 드리고 싶습니다.

- Drop 이나 Deny 된 트래픽 또는 패킷은 어떻게 처리가 되나요?



시도니 2016-02 굳이 방화벽 장비를 OSI 7 Layer 에 맞추어 장비 배치를 한다면, 7계층 장비라고 할 수 있습니다. 이는 7계층 이하 모든 레이어의 데이터그램을 까고 분석할 수 있다는 뜻이 됩니다. 만약, 특정 Port 를 Deny 한 곳에 DDos 를 때리면 어떻게 반응 하는 가, 모든 네트워크/시스템 장비는 OSI 7 Layer 에서 각 데이터그램을 벗길때 아주 약간의 시스템 리소스를 사용합니다. 하지만, 그 사용량이 매우 미미하기 때문에, 왠만한 DDos 공격에도 공격 Port 를 Deny 한다면 막을 수 있습니다. Deny 된 데이터는 Null 처리 됩니다. 시스템에서 Null 이라는 것은 매우 중요한 용도로 사용이 됩니다. Null 은 그 의미 자체로 존재하지 않는 다는 뜻이지만, DB 나 시스템에서는 Null 값이라는 것이 [데이터가 존재하지 않는 값의 데이터] 라는 의미 입니다. 네트워크에서도 Null 은 중요하게 사용하는 데요. 네트워크를 공부하다보면 Null Interface 라는 것을 보게 되는 데요. 통상 Routing Protocol 에서 Loop 를 방지하기 위해서 사용됩니다. ---------------------------------------------------------------------------------------------------------------------------------- (추가적으로) DDos 공격자의 경우 (바보가 아닌 이상) 당연히 Deny 가 될만한 서비스 포트를 공격하지 않습니다. 대체적으로 공격하는 것은 서비스에 종속되어 있어서 중단할 수 없는 WWW 이나 DNS 혹은 DB 서비스포트등을 공격합니다. 예를 들어 2cpu.co.kr 는 web 으로 서비스를 함으로 port 80 으로 들어오는 공격은 단순 정적인 방화벽으로는 막을 수 없습니다. 그래서 방화벽을 쓰면서도 IPS/IDS 를 쓰는 동시에, 현재는 웹에 많이 특화된 환경이다보니, 내부적인 해킹코드나 공격에 좀더 민첩하게 대응할 수 있도록 웹방화벽을 구축한 곳도 많이 있습니다. 굳이 방화벽 장비를 OSI 7 Layer 에 맞추어 장비 배치를 한다면, 7계층 장비라고 할 수 있습니다. 이는 7계층 이하 모든 레이어의 데이터그램을 까고 분석할 수 있다는 뜻이 됩니다. 만약, 특정 Port 를 Deny 한 곳에 DDos 를 때리면 어떻게 반응 하는 가, 모든 네트워크/시스템 장비는 OSI 7 Layer 에서 각 데이터그램을 벗길때 아주 약간의 시스템 리소스를 사용합니다. 하지만, 그 사용량이 매우 미미하기 때문에, 왠만한 DDos 공격에도 공격 Port 를 Deny 한다면 막을 수 있습니다. Deny 된 데이터는 Null 처리 됩니다. 시스템에서 Null 이라는 것은 매우 중요한 용도로 사용이 됩니다. Null 은 그 의미 자체로 존재하지 않는 다는 뜻이지만, DB 나 시스템에서는 Null 값이라는 것이 [데이터가 존재하지 않는 값의 데이터] 라는 의미 입니다. 네트워크에서도 Null 은 중요하게 사용하는 데요. 네트워크를 공부하다보면 Null Interface 라는 것을 보게 되는 데요. 통상 Routing Protocol 에서 Loop 를 방지하기 위해서 사용됩니다. ---------------------------------------------------------------------------------------------------------------------------------- (추가적으로) DDos 공격자의 경우 (바보가 아닌 이상) 당연히 Deny 가 될만한 서비스 포트를 공격하지 않습니다. 대체적으로 공격하는 것은 서비스에 종속되어 있어서 중단할 수 없는 WWW 이나 DNS 혹은 DB 서비스포트등을 공격합니다. 예를 들어 2cpu.co.kr 는 web 으로 서비스를 함으로 port 80 으로 들어오는 공격은 단순 정적인 방화벽으로는 막을 수 없습니다. 그래서 방화벽을 쓰면서도 IPS/IDS 를 쓰는 동시에, 현재는 웹에 많이 특화된 환경이다보니, 내부적인 해킹코드나 공격에 좀더 민첩하게 대응할 수 있도록 웹방화벽을 구축한 곳도 많이 있습니다.



미나리나물 2016-02 속 시원한 답변 진심으로 감사합니다. 사용중인 서비스의 포트가 표준포트(?) 일 필요는 없어서 다 바꿔놨는데, 혹시 문득 혹시나 해서 질문 드려봤습니다. 다시 한번 감사를 드립니다. 속 시원한 답변 진심으로 감사합니다. 사용중인 서비스의 포트가 표준포트(?) 일 필요는 없어서 다 바꿔놨는데, 혹시 문득 혹시나 해서 질문 드려봤습니다. 다시 한번 감사를 드립니다.



강기용 2016-02 원래 DDOS의 취지는 분산서비스 거부공격이지만 대역폭을 고갈시킬려고 하는 목적의 공격이라면 상황이 틀려 집니다. 정책에 따라 거부된 패킷도 cpu에서 연산을 함으로 과다한 정책 거부에 따른 리소스 부족(과부하)으로 결국 방화벽은 다운되어 통신이 불가합니다. 다양한 공격 패턴을 방어하기 위해서는 일반적인 방화벽을 사용하기 보다는 전문 DDOS 경감(Mitigation)전용장비를 사용하는 데,이것 역시 100% 방어한다고 보기 힘들것 같습니다. 다만,워딩대로 서비스 응답속도는 느리지만 그래도 서비스를 하기위해서는 필수적으로 필요하다고 봅니다. 원래 DDOS의 취지는 분산서비스 거부공격이지만 대역폭을 고갈시킬려고 하는 목적의 공격이라면 상황이 틀려 집니다. 정책에 따라 거부된 패킷도 cpu에서 연산을 함으로 과다한 정책 거부에 따른 리소스 부족(과부하)으로 결국 방화벽은 다운되어 통신이 불가합니다. 다양한 공격 패턴을 방어하기 위해서는 일반적인 방화벽을 사용하기 보다는 전문 DDOS 경감(Mitigation)전용장비를 사용하는 데,이것 역시 100% 방어한다고 보기 힘들것 같습니다. 다만,워딩대로 서비스 응답속도는 느리지만 그래도 서비스를 하기위해서는 필수적으로 필요하다고 봅니다.



미나리나물 2016-02 추가 답변 진심으로 감사합니다. 그나마 다행인게 현재 사용중인 서비스가 돌아가는 서버에 방화벽 로그를 보면 아직까진 대역폭 고갈같은 악질(?)이 들어오는 것 보단, 많이 사용하는 기본 포트를 툭툭 건드려보고 안되면 포기하는 자동비슷하게 돌아가는 트래픽만 감지되고 있습니다. 상단에 ASA 장비를 물려놓긴 했지만 항상 긴장은 해야겠네요. 설마 ASA 뚫고 리눅스 방화벽까지... ^^;;; 여러가지로 생각 할 수 있게 해주셔서 감사합니다! 추가 답변 진심으로 감사합니다. 그나마 다행인게 현재 사용중인 서비스가 돌아가는 서버에 방화벽 로그를 보면 아직까진 대역폭 고갈같은 악질(?)이 들어오는 것 보단, 많이 사용하는 기본 포트를 툭툭 건드려보고 안되면 포기하는 자동비슷하게 돌아가는 트래픽만 감지되고 있습니다. 상단에 ASA 장비를 물려놓긴 했지만 항상 긴장은 해야겠네요. 설마 ASA 뚫고 리눅스 방화벽까지... ^^;;; 여러가지로 생각 할 수 있게 해주셔서 감사합니다!



이지영 2016-02 방화벽은 기종별 처리량이 있는데, 허용 + 차단되는 트래픽 상관없이 방화벽 포트 지나가는 트래픽의 총 합이 처리량 넘으면 뻗습니다. DDOS 공격 트래픽이 방화벽 처리량보다 커지면 그때 뻗는것입니다. 방화벽은 기종별 처리량이 있는데, 허용 + 차단되는 트래픽 상관없이 방화벽 포트 지나가는 트래픽의 총 합이 처리량 넘으면 뻗습니다. DDOS 공격 트래픽이 방화벽 처리량보다 커지면 그때 뻗는것입니다.



미나리나물 2016-02 답변 감사합니다! 역시...DDOS는 전문 방어 시스템이 있어야 하는군요 ㅠㅠ 방화벽 로그 하루 한번 떨구게 해놨는데, 하루 두번으로...+_+ 답변 감사합니다! 역시...DDOS는 전문 방어 시스템이 있어야 하는군요 ㅠㅠ 방화벽 로그 하루 한번 떨구게 해놨는데, 하루 두번으로...+_+

로그인 하시면 댓글을 남길 수 있습니다

쓰기

네트웍

쓰기

35/105

번호	제목Page 35/105	글쓴이	날짜	조회	추천
1405	10기가 내부 네트워크 구성중... 장비를 찾고있습니다. (5)	비오는날우산	2023-04	15342	0
10기가 내부 네트워크 구성중... 장비를 … (5) 2023-04 15342 1 비오는날우산
1404	vpn pptp 문의드립니다. (4)	킹케이	2015-01	8213	0
vpn pptp 문의드립니다. (4) 2015-01 8213 1 킹케이
1403	스위칭허브 추천부탁드립니다 (12)	잘하자	2019-04	6961	0
스위칭허브 추천부탁드립니다 (12) 2019-04 6961 1 잘하자
1402	openWRT 잘 아시는 분 계시나요? 53포트 차단이 안됩니다. (6)	까치산개꿀탱	2020-10	5408	0
openWRT 잘 아시는 분 계시나요? 53포트 … (6) 2020-10 5408 1 까치산개꿀탱
1401	해외에서 한국 가정집 IP 사용을 위한 VPN 장치가 있을까요? (6)	농부76	2023-10	17144	0
해외에서 한국 가정집 IP 사용을 위한 VPN… (6) 2023-10 17144 1 농부76
1400	방화벽 Drop에 관한 질문 (6)	미나리나물	2016-02	8532	0
방화벽 Drop에 관한 질문 (6) 2016-02 8532 1 미나리나물
1399	Mikrotik 1016 사용중입니다. Firewall 이 따로 필요한가요 ? (5)	제Ol	2016-03	6998	0
Mikrotik 1016 사용중입니다. Firewall 이… (5) 2016-03 6998 1 제Ol
1398	명령어가 궁금합니다.	말근	2016-08	7219	0
명령어가 궁금합니다. 2016-08 7219 1 말근
1397	MikroTik 신제품 스위치 2종 (4)	박건	2019-08	10465	0
MikroTik 신제품 스위치 2종 (4) 2019-08 10465 1 박건
1396	형님들 단자함을 이용해서 랜연결 도와주세요ㅠ (2)	송진현	2020-04	3244	0
형님들 단자함을 이용해서 랜연결 도와주… (2) 2020-04 3244 1 송진현
1395	소규모 사무실 네트워크 구성 조언부탁드립니다. (수정1) (17)	moons	2021-02	9865	0
소규모 사무실 네트워크 구성 조언부탁드… (17) 2021-02 9865 1 moons
1394	GNS3 방화벽 설정 (5)	제리는톰주인	2021-03	8593	0
GNS3 방화벽 설정 (5) 2021-03 8593 1 제리는톰주인
1393	공유기 질문 (A3002Mesh vs A8004T) (5)	Negatic	2021-07	3351	0
공유기 질문 (A3002Mesh vs A8004T) (5) 2021-07 3351 1 Negatic
1392	가정용으로 사용할 공유기(라우터) 추천해주실수 있으십니까? (8)	모맵	2021-09	4341	0
가정용으로 사용할 공유기(라우터) 추천해… (8) 2021-09 4341 1 모맵
1391	멀티캐스트 환경 구축 질문 (스샷 추가) (2)	씨퓨지퓨	2023-07	29921	0
멀티캐스트 환경 구축 질문 (스샷 추가) (2) 2023-07 29921 1 씨퓨지퓨
1390	유쁠 오피스넷 설치했습니다. (9)	닉네임	05-20	7339	0
유쁠 오피스넷 설치했습니다. (9) 05-20 7339 1 닉네임
1389	넷기어 R7000 멀린펌에 프린터 캐논 mx437 연결됬는� (1)	나노큐브	2017-01	11424	0
넷기어 R7000 멀린펌에 프린터 캐논 mx437… (1) 2017-01 11424 1 나노큐브
1388	공인아이피 서버 VRRP 질문 (4)	제로섬	2017-09	10304	0
공인아이피 서버 VRRP 질문 (4) 2017-09 10304 1 제로섬
1387	피시방 노하드 서버 비슷한..? 이런 시스템을 뭐라고 부르는지 … (7)	디너모	2020-09	5021	0
피시방 노하드 서버 비슷한..? 이런 시스… (7) 2020-09 5021 1 디너모
1386	미크로틱 라우터 DHCP 서버 다중화 설계 (8)	Commander	2022-08	6971	0
미크로틱 라우터 DHCP 서버 다중화 설계 (8) 2022-08 6971 1 Commander