DDOS 방어기법 대응방법

 

💡 서비스 서버 및 회선 이중화

DDOS로 인한 서버 장애를 대비한 서버 및 회선 이중화

💡 공격 대상의 최소화(망분리/보안점검/VPN)

외부에 노출된 서비스 외 내부용 서버는 외부에 노출되지 않도록 망분리를 한다.

💡 내부 서버의 IP/서비스가 외부에 open 되어 있는지 주기적인 스캐닝 수행

외부에서 내부망 접속 시 VPN을 통한 접속

💡 UDP 패킷 차단

서비스에 사용되는 UDP Port만 허용 후 임계치 기반 차단 정책 적용

💡 Null라우팅을 통한 패킷 폐기

라우터나 네트워크 최상단 장비에서 특정 IP에 대해 패킷을 라우팅 하지 않고 폐기하는 null Routing 설정 적용

💡 ICMP패킷 차단

• ICMP Flooding 공격 대응방안
• 외부로부터 ICMP를 사용하지 않는 환경이라면 네트워크 상단에서 ICMP프로토콜을 원천 차단

💡 TCP 연결 유지시간 조정(session Timeout)

• 장시간 TCP Connection 패킷에 대해 일정 시간이 초과할 경우 세션을 끊어 Backlog Queue를 확보

💡 임계치 기반 차단

대량의 SYN패킷을 유발하는 IP에 대하여 임계치 기준을 설정하여 초과하는 IP 차단

💡SYN Flooding 대응

• SYN Cookie룰 적용 : 서버에서 SYN/ACK 패킷을 보낼 때 sequence값에 임의의 Cookie값을 추가하여 클라이언트에 전송하고 일정 시간 SYN Cookie에 대한 정상적인 응답이 들어오지 않으면 방화벽에서 차단
• SYN Proxy : 네트워크 상단의 방화벽이 먼저 3-way handshaking을 맺어지고 그 연결을 다시 서버에게 재현시켜주는 방식으로 클라이언트가 방화벽이랑 세션을 맺지 못하면 서버에 도달할 수 없음