[본문스크랩] IPTABLES - DDoS | 5.DDOS방어 서버

[본문스크랩] IPTABLES - DDoS | 5.DDOS방어 서버

최근 서비스 중에 고객 도메인을 타고 DDoS 공격이 들어와 서비스 서버들에게 영향을 미쳤다.
특별한 하드웨어 장비 및 방화벽이 없기 때문에 서버자체 설정을 함으로써 어느정도 막을 수
있을거라 생각이 들었지만, 대규모의 DDoS 공격에 무용지물이었다.

하지만 리눅스 서버에 Iptables 기능으로 어느정도 효과가 있었고 그 설정에 대해서 정리하겠다.

* IPTABLES

iptables 정책이란 서버에 유입되는 패킷을 어떻게 처리하는가에 대한 정의를 내린다.

크게 2가지 이지만 세부적으로는 3가지로 나눌 수 있다.

- 허가

- 거부

- Accept

- Deny [패킷을 허용하지 않은 다는 메시지를 보내면서 거부를 한다.]

- Drop [패킷을 완전히 무시한다.]

* IPTABLES 기본 형식

iptables -A INPUT -s [근원지] --sport [근원지 포트] -d [목적지] --dport [목적지 포트] -j [정책]

세부적인 정보를 확인하려면 #iptables --help를 확인한다.

* 기본 명령어

iptables -A : rule 추가

iptables -L : rule 목록보기

iptables -L -v : 적용된 policy에 의해 패킷들이 걸리는지 확인
iptables -F : 모든 rule 삭제

iptables -I : rule 해당위치에 추가

* 사용 예.

iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 1 --hitcount 10 --name HTTP -j DROP

- 1초동안 80포트에 똑같은 IP가 10번 이상의 SYN가 들어오면 드랍시킨다.
이는 정상적인 요청이 아닌 공격으로 간주한다.

자세한 내용은 아래 링크 페이지를 확인 바랍니다.

http://www.cyberciti.biz/tips/linux-iptables-7-how-to-limit-the-number-of-incoming-tcp-connectionsyn-flood-attack.html

* 킁킁 *