You cannot see this page without javascript.

글 수 369

DDOS 방어

Linux 조회 수 457 추천 수 0 2016.09.19 09:33:53
LynX *.144.56.100

 

이럴때 일반적으로는 아래와 같이 해당 IP주소만 차단하는게 일반적이다.

1
$ sudo /sbin/iptables -I INPUT -s 5.9.108.149 -j DROP

 

그러나 매번 그렇게 차단하는게 귀찮다고 생각해서 조금 검색을 해보니 좋은 방법이 있어 정리 및 공유해 본다.

1
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j RETURN

 

모든 tcp 접속에 대해서 limit이 될때 까지 허용한다.

여기서 2가지 추가 옵션이 있는데

  • –limit 1/s : 초당 최대 평균 매치 값
  • –limit-burst 3 : 매칭되는 최대 패킷 수

이다. 이 숫자를 조금 변경해서 적용해 보았는데, limit 숫자를 늘렸을때, 공격이 감지 되지 않는 케이스도 많고 해서 그냥 쓰고 있다.

각 파라메터에 대한 설명은 아래와 같다.

  • ‐‐limit rate: Maximum average matching rate: specified as a number, with an optional ‘/second’, ‘/minute’, ‘/hour’, or ‘/day’ suffix; the default is 3/hour.
  • ‐‐limit‐burst number: Maximum initial number of packets to match: this number gets recharged by one every time the limit specified above is not reached, up to this number; the default is 5.

아래의 예제는 전체적으로 자동화 된, 공격 차단 룰이다.
핑 확인을 하는 경우, 로그에 기록하고 차단하는 룰도 포함되어 있다.

 

 
# Limit the number of incoming tcp connections
# Interface 0 incoming syn-flood protection
iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP
#Limiting the incoming icmp ping request:
iptables -A INPUT -p icmp -m limit --limit  1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j LOG --log-prefix PING-DROP:
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT

 

그 이외에 ssh로 접속을 계속적으로 시도하는 해킹 시도는 아래의 룰을 적용하면 어느정도 막을 수 있다.
10분동안 10개 이상 커넥션을 맺지 못하도록 하는 스크립트이다.

 

 
iptables -I INPUT -p tcp -s 0/0 -d $SERVER_IP --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -m recent --set -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 11 -j DROP
iptables -A OUTPUT -p tcp -s $SERVER_IP -d 0/0 --sport 22 --dport 513:65535 -m state --state ESTABLISHED -j ACCEPT

 

시간을 변경하고 싶으면, –seconds의 뒷자리 숫자를 변경하고,
횟수를 변경하고 싶으면, –hitcount의 뒷자리 숫자를 변경하면 된다.

엮인글 :
목록
List of Articles
번호 제목 글쓴이 날짜 조회 수sort
149 Network HSRP 구성 file [20] LynX 2015-04-29 807
148 CentOS memchached [1] LynX 2016-04-21 808
147 CentOS Grub UUID change LynX 2018-08-08 811
146 Server 톰켓 설치 file LynX 2014-05-20 812
145 CentOS7 ▒ Doly의 CentOS7 강좌 9 3. CentOS시작, 종료, 둘러보기 -1 file [12] LynX 2014-10-23 812
144 CentOS apm소스 [9] LynX 2015-05-29 835
143 Server 웹 동접자 수 확인 코드 LynX 2016-09-08 836
142 Windows Windows 10 재작 툴 file [21] LynX 2015-08-19 840
141 SoftWare 네트워크 블러그 LynX 2013-09-29 841
140 Xpress Engine XE 애드온 --XE 애드온의 기초 이해 LynX 2014-07-11 842
139 Linux Linux Telnet, SSH 설치 LynX 2014-06-30 843
138 HardWare 라우터 초기화 LynX 2014-03-25 847
137 mms 스트리밍 파일 다운로드 file LynX 2012-12-12 854
136 Linux OpenBSD APM Source Compile [2] LynX 2016-07-04 874
135 CentOS7 ▒ Doly의 CentOS7 강좌22 7. 사용자와 그룹관리 3-관리자 권한 전환 [19] LynX 2015-06-09 887
134 APM Apache 2.4 설치 file LynX 2013-12-30 890
133 Programing make - 05 내부 매크로 LynX 2017-02-22 897
132 CentOS7 ▒ Doly의 CentOS7 강좌17 6. CentOS 네트워크 3-호스트네임 설정 file LynX 2014-10-23 912
131 CentOS7 ▒ Doly의 CentOS7 강좌26 10. 디스크관리 5 LVM 5.1 SSM file [9] LynX 2015-06-09 919
130 Xpress Engine xe 외부 php 파일에서 db 접근하기 executeQuery() LynX 2014-07-14 920
쓰기 목록

XE Login