Software, Support, Documentation
|
|
News,
Internal,
Projects,
Home Software, Support, Documentation |
On Fri, Nov 28, 2003 at 11:27:55AM +0900, 이상구 wrote: > > 현재 로그서버를 실행중인데.. 로그서버 메시지를 보고있노라면 > 아래와 같은 메시지가 간헐적으로 계속 모니터링됩니다. > 아마 외부에서 해킹이나,스캐닝기법을 통해 공격을 하는것으로 보이는데 > 해결책이나 예방법이 있는지 궁급합니다. > Limiting open port RST response는 open된 socket(LISTEN)에 connection request(SYN packet)가 과도하게 들어올때 발생합니다. 만일 closed된 socket에 그런 요구가 들어온다면 'closed port RST response'로 메세지가 바뀌었을겁니다. 물론 TCP의 경우라면 아무런 ICMP packet이 생성되지 않지만 UDP라면 ICMP port unreachable이 전송되었을겁니다. 이 경우에는 서버의 부하가 같이 증가하게 됩니다. 상대편에서 scanner를 수행하거나 또는 SYN flodding DOS attack을 수행하거나 할 경우에 발생할 수 있습니다. 만일 SYN flooding이라면 syncache의 크기를 증가시키면 어느정도는 도움이 됩니다.(syncookies는 아마도 default가 enable되어 있을 겁니다.) #sysctl -a | grep tcp.syn > 해당 서버 : FreeBSD4.7R 입니다. > NAS 와 nfs 연결하여 서비스중이고 > > /etc/sysctl.conf 에서 몇가지 옵션을 추가했습니다. > > --중략-- > net.inet.tcp.blackhole=2 > net.inet.udp.blackhole=1 > net.inet.tcp.drop_synfin=1 > net.inet.tcp.delayed_ack=0 > --중략- > > 이외에 추가적으로 해야할 세팅이나 경험이 있으면 정보부탁드립니다. > blackhole(4)은 방화벽이 없는 시스템이라면 설정할만 옵션이지만 방화벽을 사용한다면 별 도움이 않됩니다. 한마디로 시스템을 보호 하는데 별 도움은 되지 않습니다. net.inet.tcp.drop_synfin=1로 설정하면 RFC1644(T/TCP)가 동작하지 않습니다. 그리고 nmap같은 scanner로 부터의 보호를 위해서 이를 설정했다면 아무런 도움이 않됩니다. net.inet.tcp.delayed_ack=0는 TCP 성능에 치명적인 영향(불필요한 traffic발생, 속도저하등)을 미칩니다. #sysctl -d net.inet.tcp.delayed_ack > OS 상의 버그인지...아니면 방화벽으로 차단해야하는지.. > 감사합니다. > OS의 버그는 아닙니다. 진정한 stateful inspection이 되는 방화벽을 사용하는것이 가장 좋겠습니다. 4.X라면 ipfilter를 추천합니다. 5.X라면 pf(/usr/ports/security/pf)를 권합니다. -- Pyun YongHyeon <http://www.kr.freebsd.org/~yongari> _______________________________________________ 한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트 questions at kr.FreeBSD.org http://www.kr.FreeBSD.org/mailman/listinfo/questions
|
Copyright © 1998-2005 Korea FreeBSD Users Group. All rights reserved. webmaster at kr.FreeBSD.org $Date: 2003/11/29 11:43:31 $ |
|