Dos, Ddos 란?

Dos 와 Ddos란?

Dos 공격은 시스템 또는 네트워크의 약점을 이용하거나, 대량의 패킷 데이터를 보내서 대상 시스템 또는 네트워크가 정상적으로 서비스 되지 못하게 하는 공격입니다.

Ddos 공격이라는 것은 좀비 PC를 이용하여 다수의 시스템에서 동시에 공격하는 방법을 말합니다.

Dos 공격의 종류

1. Smurf
2. Synflood

정상적인 경우에, 클라이언트와 서버간에 TCP 3-way handshaking 중에 서버는 SYN을 받게 되면 백로그 큐의 자원을 사용하고 SYN에 대한 SYN/ACK 응답을 하고 ACK를 기다립니다.

하지만 Synflood 공격은 정상적인 TCP 3-way handshaking을 하는 것이 아니고 SYN만 많이 보냄으로써 타겟의 백로그 큐 자원을 모두 사용하게 되어 정상적인 통신을 못하도록 하는 공격입니다.

pfSense에서 Synflood 공격 방어

1. 필터링
2. TCP Intercept 설정
3. SYN 쿠키 사용

• 필터링을 사용해 방화벽에서 초당 연결 수를 제한하여 초당 N회 이상 연결되면 IP를 block 하도록 설정할 수 있습니다.

• TCP Intercept는 방화벽 또는 L3 장비가 서버인 척하고 클라이언트와 TCP 커넥션을 정상적으로 맺게 되면 해당 Connection 정보를 서버에게 전달하는 것을 말합니다.

• SYN 패킷에 대한 응답으로 SYN-ACK 패킷을 다시 보내 SYN 대기열 항목을 삭제하여 SYN 대기열이 채워지지 않도록 할 수 있습니다.

(참고 : https://blog.dalso.org/home-server/firewall/3358)