저는 DDOS와 이를 완화하는 기술에 대해 배우고 있습니다. TCP Keepalive는 다른 호스트가 아직 작동 중인지 확인하는 데 사용되며 호스트가 tcp keepalive 메시지를 확인하지 않으면 연결이 종료됩니다.
이러한 메시지를 사용하여 DDOS 공격을 완화할 수 있는지 궁금합니다. 공격을 받는 서버는 아직 작동 중인지 여부에 관계없이 클라이언트에 접속하는 시간을 줄일 수 있습니다. 서버는 유니캐스트 역방향 경로 전달을 사용하여 IP 스푸핑을 방지할 수 있으며 봇넷을 사용하는 합법적인 호스트에서 공격이 수행되는 경우 서버는 어쨌든 tcp의 연결 유지 메시지 기술을 사용하여 끊어진 연결을 닫고 DDOS 공격을 방지할 수 있습니까? TCP 반개방 연결을 감지하고 tcp Keep Alive를 사용하여 연결을 닫는 방법이 있습니까?
답변1
DDOS는 매우 광범위한 용어이며 다양한 공격을 포함합니다. TCP 연결 유지는 이미 설정된 TCP 연결에만 관련되며 일반적으로 IP 스푸핑을 사용하는 공격을 우선적으로 제외합니다. 이는 높은 대역폭을 사용하는 공격(스푸핑된 IP 주소를 사용하는 증폭 공격 등)이나 SYN 플러딩인 대부분의 DDOS 공격과 관련이 없음을 의미합니다.
이로 인해 다음과 같은 공격이 발생합니다.슬로로리스많은 연결을 열어 두어 서버의 리소스를 연결하려고 시도하거나 사용자 공간 응용 프로그램에서 적절한 TCP 핸드셰이크를 수행한 다음 닫지 않고 연결을 포기하는 공격을 시도합니다. TCP 연결 유지에 예상대로 응답하는 적절한 클라이언트가 있기 때문에 TCP 연결 유지는 첫 번째에 대해 작동하지 않습니다. 두 번째 경우에는 순진한 구현에 도움이 될 수 있지만 더 많은 메모리를 사용하지 않고도 TCP 연결 유지를 처리하도록 수정할 수 있습니다.
간단히 말해서, 매우 구체적이고 희귀한 종류의 DDOS에 도움이 될 수 있습니다. 그러나 이 DDOS의 경우에도 연결에 유휴 시간 제한을 사용하고 열려 있는 연결 수와 연결의 특정 상태에 따라 시간 제한을 동적으로 조정하는 것이 더 효과적일 수 있습니다. 이것은 아마도 더 많은 종류의 공격을 다룰 것입니다.
답변2
귀하의 컴퓨터는 패킷의 소스 IP 주소가 스푸핑되었는지 여부를 알 수 없습니다. 첫 번째 근사치로 RPF는 라우터에만 적용됩니다. 여러 업스트림 공급자에 대한 여러 인터페이스가 있는 경우 N배로 트래픽을 줄입니다. 여기서 N은 인터페이스 수입니다. 업스트림이 몇 개야?하다당신은 있나요?
TCP KEEPALIVE는 이와 관련이 없습니다. 적절한 sysctl 옵션을 사용하여 활성화할 수 있는 tcp syn 쿠키를 생각할 수도 있습니다.
위협 모델이 다른 할 일이 없는 두 명의 어린이인 경우를 제외하면 이 모든 것은 어쨌든 대부분 관련이 없습니다. 오랫동안 DDOS 공격은 단순히 들어오는 파이프를 막히게 했습니다. 유용한 트래픽을 수신할 수 있는 링크 용량이 남아 있지 않으면 컴퓨터가 계속 작동할 수 있는지 여부는 중요하지 않습니다!
확고한 공격자가 정말로 걱정된다면 업스트림 공급자의 보호가 필요하고 더 심각한 경우에는 전용 안티 디도스 서비스(찾기 쉬움, 특정 서비스를 홍보하고 싶지 않음)의 보호가 필요합니다.
도움이 되었기를 바랍니다.