ddos 패킷 분석좀 부탁드립니다.

안녕하십니까? 씨디네트웍스 홍석범입니다.

첨부하여 주신 이미지를 말씀하시는 것인지요?
해당 flow는 존재하지 않는 포트 이를테면 1000/tcp로 syn 접속을 시도하면 포트가  리슨하지 않으므로 syn+ack가 아닌 ack+rst로 응답하는 것입니다.

즉, 리슨하지 않는 포트로의 접속이 되겠습니다. 

그러나 이것이 ddos가 되려면 방대한 bps(이를테면 1Gbps이상) 또는 pps(이를테면 수십만 pps 이상) 이어야 하는데 실제로 그러한지요?

만약 그러한 ddos성 트래픽이라면 리눅스OS의 한계로 인하여 iptables로 차단하기는 현실적으로 어려움이 있습니다.   만약 적은 양의 트래픽이라면 iptables로 차단할 수 있는데, 이는 이를테면

iptables -A INPUT -p tcp -s 0/0 --dport  80 -j ACCEPT
iptabes -A INPUT -p tcp -s 1.1.1.1 --dport 110 -j ACCEPT
iptables -P INPUT  DROP

와 같이 허용해 주어야 할 (서비스)포트를 제외한 모든 inbound 트래픽을 제한하면 됩니다.

제가 질문을 바로 이해했는지 모르겠네요...

감사합니다.

감사합니다.

ddos 님의 글

안녕하세요..리눅스서버 보안실무 관리 책 너무 좋은것 같네요..

정말 많이 배우고 있습니다.

제가 관리하는 서버중에 최근에 ddos 공격이 심하게 들어옵니다.

패킷분석을 하여 리눅스 방화벽에서 차단을 할려고 하는데요..

책에 나와있지 않아서 질문 드립니다.

비정상 패킷인지 , 정상 패킷인지 알수가 없네요..

비정상 패킷이라면 iptables 에서 차단 할수 있는 룰은 어떻게 되는지 궁금합니다.

예를 들면..TCP 패킷중 SYN과 RST 비트를 살펴보아 SYN과 RST 비트가 함께

설정된 패킷은 차단한다.

iptables -A FORWARD -p TCP --tcp-flags SYN,RST SYN,RST -j DROP

이런식으로 막는 방법은 없는지??

도움 부탁드립니다.

감사합니다.