방화벽 정책관련 질문입니다.

안녕하십니까? 홍석범입니다.

결론적으로 최근의 ddos나 syn flooding공격은 방화벽에서 차단할 수 있는 수준을 넘어서 공격되고 있어 현실적으로 iptables 방화벽으로 차단이 불가합니다.
만약 차단이 가능한 적은 수준의 공격일 경우라고 가정한다면, 위의 경우는 소스ip에 관계없이(대부분 소스ip는 위조되므로) 단순한 비율조정(rate-limit)이므로  만약 80/'tcp등으로 공격이 들어온다면 정상적인 패킷도 함께 차단됩니다.
아울러 ddos나 syn flooding은 특정한 포트가 지정되어 있지 않고 공격을 하므로  방화벽으로 특정 포트를 차단하는 것은 의미가 없습니다.

아마. ddos 공격포트라고 한다면 예전 2000년대 초반에 사용된 공격의 일부 포트를 뜻하는 것 같은데, 현재는 전혀 의미가 없습니다. 방화벽 지침에 대해서는 검색엔진에서 검색해시면 많은 자료를 찾을 수 있습니다.

감사합니다.

박중진 님의 글

방화벽 정책관련 질문이 있어서 글을 남깁니다.

외부로 부터의 공격에 대하여 침입에 사용되는 포트등을 차단중입니다.

그런데 자료를 보니

1. DDOS 공격에 대한 차단정책 수립...

2. SYN Flooding에 대한 차단정책 수립...

3. 방화벽 우회공격에 대한 차단정책 수립...등이 있었습니다.

DDOS 공격이나 SYN공격은 공격자의 IP를 알아야 정책에 추가할 수 있는거 아닌가요?

아니면 DDOS등 각 공격에서 사용되는 Port가 있는지요....

질문을 정리하자면...

상기 3가지 공격에 대한 차단정책을 수립할때

각 공격에서 사용되는 port는 무엇인지...

그리고 정책 수립시ANY <-> ANY / DDOS 공격 포트..라고 설정을

한다면... 차단정책이 수립된 것이라 볼수 있는지요...

추가로 혹시 방화벽 관련 관리지침에 대한 자료는 없는지요.