💡 서비스 서버 및 회선 이중화
DDOS로 인한 서버 장애를 대비한 서버 및 회선 이중화
💡 공격 대상의 최소화(망분리/보안점검/VPN)
외부에 노출된 서비스 외 내부용 서버는 외부에 노출되지 않도록 망분리를 한다.
💡 내부 서버의 IP/서비스가 외부에 open 되어 있는지 주기적인 스캐닝 수행
외부에서 내부망 접속 시 VPN을 통한 접속
💡 UDP 패킷 차단
서비스에 사용되는 UDP Port만 허용 후 임계치 기반 차단 정책 적용
💡 Null라우팅을 통한 패킷 폐기
라우터나 네트워크 최상단 장비에서 특정 IP에 대해 패킷을 라우팅 하지 않고 폐기하는 null Routing 설정 적용
💡 ICMP패킷 차단
- ICMP Flooding 공격 대응방안
- 외부로부터 ICMP를 사용하지 않는 환경이라면 네트워크 상단에서 ICMP프로토콜을 원천 차단
💡 TCP 연결 유지시간 조정(session Timeout)
- 장시간 TCP Connection 패킷에 대해 일정 시간이 초과할 경우 세션을 끊어 Backlog Queue를 확보
💡 임계치 기반 차단
대량의 SYN패킷을 유발하는 IP에 대하여 임계치 기준을 설정하여 초과하는 IP 차단
💡SYN Flooding 대응
- SYN Cookie룰 적용 : 서버에서 SYN/ACK 패킷을 보낼 때 sequence값에 임의의 Cookie값을 추가하여 클라이언트에 전송하고 일정 시간 SYN Cookie에 대한 정상적인 응답이 들어오지 않으면 방화벽에서 차단
- SYN Proxy : 네트워크 상단의 방화벽이 먼저 3-way handshaking을 맺어지고 그 연결을 다시 서버에게 재현시켜주는 방식으로 클라이언트가 방화벽이랑 세션을 맺지 못하면 서버에 도달할 수 없음
반응형
'CS 이론' 카테고리의 다른 글
3way handshake / 4way handshake (0) | 2022.03.09 |
---|---|
쿠키(Cookie)와 세션(Session)의 공통점과 차이점, 사용하는 이유 (0) | 2022.03.09 |
백업의 정의와 종류 (0) | 2022.02.25 |
브라우저에서 홈페이지 접속까지의 과정(1) (0) | 2022.02.20 |
댓글