SYN_Flooding 공격 방어

SYN_Flooding 공격은 TCP세션의 연결시에 존재하는 취약성을 이용한 공격 입니다.

  

일종의 서비스거부공격(Dos : Denial of service) 공격의 일종입니다.

 

TCP세션을 맺기 위해서는 패킷을 보낼 서버와 받을 서버간에 몇 단계 확인 작업을 거치게 되는데

 

SYN과 ACK패킷을 이용하여 송수신 준비 확인을 하게 됩니다.

 

SYN패킷을 받는 목적지 서버는 SYN과 ACK패킷을 보낸 후에 소스 서버에서 ACK패킷을 보내기를 기다리게 됩니다.

 

이때 계속적으로 기다리는 것이 아니라 백로그큐(Backlog Queue)가 허용하는 공간에 연결 정보를 보관하게 됩니다.

 

이런 상태가 수도 없이 쌓이게 되면 특정 서비스가 정상적으로 이루어 지지 않는 서비스 다운 상태가 됩니다.

 

SYN_Flooding 공격을 차단하기 위해서는 backlog queue 사이즈를 늘려주는 방법과 tcp_syncookies 값을 1로 설정하는 방법이 있습니다.

 

 

Backlog Queue - vi /proc/sys/net/ipv4/tcp_syncookies

TCP_Syncookies - vi /proc/sys/net/ipv4/tcp_max_syn_backlog

이호스트 데이터센터 운영팀 : http://www.ehostidc.co.kr