본문 바로가기
IT 보안/네트워크 취약점 점검

[NW-22] (상) DDoS 공격 방어 설정

해픽 2021. 12. 7. 00:00
반응형

개요

악성 봇을 이용한 DDoS 공격을 위해
해커는 일반 사용자 PC에 봇을 감염시킨 후 봇에 감염된 PC에 공격 명령을 전달한다.
 
DDoS 공격 시에는, 다른 공격 유형으로 명령 및 제어 서버의 접속 없이 감염된 컴퓨터 실행 시 특정 사이트를 공격하도록 제작·유포되어 해당 서비스를 마비시키는 등
다양한 공격이 존재하므로 각별한 주의가 요구된다.

 

위험도 : 상

 

판단기준

  • 양호 : DDoS 공격 방어 설정이 되어있음
  • 취약 : DDoS 공격 방어 설정이 되어있지 않음

 

점검 방법

 
점검 방법
예시
cisco
Router# show running-config
· ACL 확인
Router# show running-config
...
interface vlan1
ip access-group 101 in
 
access-list 101 deny 0.0.0.0 0.255.255.255
access-list 101 deny 127.0.0.0 0.255.255.255
access-list 101 deny 169.254.0.0 0.0.255.255
access-list 101 deny 192.0.2.0 0.0.0.255
access-list 101 permit any any
...
alteon
ADC# /cfg/dump
· Filter 확인
ADC# /cfg/dump
...
/c/slb/filt 110
sip 0.0.0.0
smask 255.0.0.0
action deny
/c/slb/filt 111
sip 127.0.0.0
smask 255.0.0.0
action deny
/c/slb/filt 112
sip 169.254.0.0
smask 255.255.0.0
action deny
/c/slb/filt 113
sip 192.0.2.0
smask 255.255.255.0
action deny
/c/slb/filt 200
sip any
dip any
action permit
...
/c/slb/port 2
filt ena
add 110-113
add 200

 

조치 방법

 
조치 config 예시
비고
cisco
Router# config terminal
Router(config)# access-list 101 deny 0.0.0.0 0.255.255.255
Router(config)# access-list 101 deny 127.0.0.0 0.255.255.255
Router(config)# access-list 101 deny 169.254.0.0 0.0.255.255
Router(config)# access-list 101 deny 192.0.2.0 0.0.0.255
Router(config)# access-list 100 permit any any
Router(config)# interface vlan1
Router(config-if)# ip access-group 100 in
  
alteon
ADC# /c/slb/filt 110/sip 0.0.0.0/smask 255.0.0.0/action deny
ADC# /c/slb/filt 111/sip 127.0.0.0/smask 255.0.0.0/action deny
ADC# /c/slb/filt 112/sip 169.254.0.0/smask 255.255.0.0/action deny
ADC# /c/slb/filt 113/sip 192.0.2.0/smask 255.255.255.0/action deny
ADC# /c/slb/filt 200/sip any/dip any/action permit
 
ADC# /c/slb/port 2/filt ena/add 110/add 111/add 112/add 113/add 200
 
ADC# apply
ADC# save
  
DDoS 공격 방어 설정(차단되어야 하는 IP 대역)
  - 0.0.0.0/8 : Default/Broadcast & Other unique IP
  - 127.0.0.0/8 : Host Loopback IP address
  - 169.254.0.0/16 : DHCP를 통한 IP 미 할당시 자동 생성되는 IP
  - 192.0.2.0/24 : TEST-NET IP
  - 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16:RFC 1918 에 정의된 사설 IP
  - access-list 번호는 100~199 구간을 사용하여 Extended access-list를 사용

 

조치 시 영향

방어 설정 대상 ip 중 사설 ip의 경우, 내부시스템에서 사용하는 ip는 제외되어야 한다
ACL Filter 적용 시 기기의 성능에 영향을 줄 수 있다
일부 서비스에 영향이 갈 수 있으므로 충분한 사전 검토가 필요하며, 이상 발생 시 원복할 수 있는 준비가 되어 있는 상태에서 적용해야 함
반응형

'IT 보안 > 네트워크 취약점 점검' 카테고리의 다른 글

[NW-24] (중) TCP keepalive 서비스 설정  (0) 2021.12.09
[NW-23] (상) 사용하지 않는 인터페이스의 shutdown 설정  (0) 2021.12.08
[NW-21] (상) Spoofing 방지 필터링 적용  (0) 2021.12.06
[NW-20] (상) TFTP 서비스 차단  (0) 2021.12.05
[NW-19] (상) SNMP Community 권한 설정  (0) 2021.12.04

'IT 보안/네트워크 취약점 점검' Related Articles

티스토리툴바