ddos 패킷 분석좀 부탁드립니다.(2)

안녕하십니까? 씨디네트웍스 홍석범입니다...

이래저래 고민이 많으시겠네요...
말씀하신대로의 양은 사실상 리눅스 방화벽에서의 차단이 어렵습니다.
테스트 결과 리눅스에서 최대로 처리 가능한 pps는 20만 pps정도 되는 것 같습니다.

더군다나 서비스되는 포트로 들어오는 공격이므로 정상트래픽인지 공격트래픽인지에 대한 인지여부가 매우 중요한데,   이에 대한 대안은 현실적으로 ddos 전용장비밖에는 없을 것 같습니다.

1Mpps를 처리할 수 있을 정도로 어느정도 성능이 되면서, 정상트래픽과 공격트래픽을 구분할 수 있는 기능(NBA)을 가진 장비는 현재 radware DP 및 intruguard가 거의 유일하지 않을까 싶습니다. 가격은 대략 3~5천 내외인 것으로 알고 있고요...  

이와는 별도로 근본적인 대안이 될 수는 없겠지만, TTL을 작게 설정하여 DNS 라운드로빈으로 최대 13개까지 다중화하여 서비스를 운영하시는 것도 대안이 될 것 같습니다. 만약 공격이 들어오면 해당 IP는 DNS에서 disable하는 식으로 말이죠.....

속시원한 도움을 드리지 못해 죄송합니다.

감사합니다.

ddos 님의 글

안녕하세요..홍석범님..

먼저 항상 친절하고, 정확한 답변에 너무 감사드립니다.

현재 상황을 좀더 상세 하게 설명을 드리면..

리눅스로 브리지방화벽을 만들어 운영해 온지 2년 가까이 됩니다.

ddos 는 웹쪽으로 많이 들어오는데 이번에는 어플리케이션쪽으로 공격이 들어와서..

서비스중인 포트 tcp 6925 포트로 엄청난 량의 패킷이 들어옵니다.

홍석범님의 말씀대로라면..제가 볼때는

ack+rst 가 발생하는 원인이 6925 포트로 너무 많은 공격이 들어와서.

이미 포트가 리슨을 하지 못하여 발생 할수도 있다는것으로 판단되네요.

상위 c6509 스위치에서 icmp,igmp,udp 는 모두 차단된 상태여서,

그 패킷까지 합치면 몇기가 정도 될것 같지만..

방화벽까지 도달되는 패킷을 tcp 만 250Mbps, 45만 pps 정도네요..

홍석범님이 말씀 하셨듯이 리눅스 os 브리지 방화벽으로 로 이정도 막기는 힘들듯 합니다.

책에서 응용하여 아래와 같이 룰셋을 적용하니, 공격들어오는 ip 는 알수 있는데요.

iptables -A FORWARD -m recent --name TCP6925 --rcheck --seconds 86400 -j DROP
iptables -A FORWARD -p tcp --syn --dport 6925 -m connlimit --connlimit-above 10 -m recent --name TCP6925 --set -j DROP
iptables -A FORWARD -p tcp --syn --dport 6925 -m connlimit --connlimit-above 10 -j DROP

이렇게 설정하니 공격들어오는 ip 는 차단이 되고.

50Mbps, 15만pps 정도 까지는 막아낼수 있습니다.

그 이상은 방화벽에 부하가 걸려 막기는 하지만 서비스는 안됩니다.

또, 해외 ip 는 모두 차단되어 국내 ip 로만 공격이 들어옵니다.

공격이 가장 많이 들어오는(패킷량이 제일 많은) ip 는 20~30 개 정도 인데..

그 ip 를 상위(백본) 스위치에서 차단하면 서비스는 됩니다.

흠..ddos 전용장비를 구매 하자니, 너무 고가이고..고민입니다.

ddos 장비라고 나오는것은 이정도는 막을수 있겟죠?

혹시 저렴한 ddos 막을수 있는 장비 추천할만한 장비 있는지...아시면 좀 추천좀 해주세요.

2천만원 선 정도면 좋겠네요. 기가포트가 지원되야 할것 같구요. (무리인가??)

암튼 요즘 고민도 많지만, 재미도 있습니다.

공격 막는 재미..ㅋㅋ

읽어주셔서 감사합니다.