사실 syn flood attack에대한 해결은 IPS나 IDS를 도입하기
전에는 완전한 해결은 힘들다고 합니다.
완전한 해결책은 아니지만 o/s의 tcp 파라미터를 변경
하므로서 어느정도의 문제해결은 볼 수 있습니다.
syn flood attack과 관련해서 변경할 수있는 파라미터값을 적어봅니다.
현재 세팅값 먼저 확인하시고 적용해 보시기 바랍니다.
물론 영구등록은 /etc/system파일에 등록해 주셔야 겠지요~
세팅값 확인
ndd -get /dev/tcp 파라미터값
적용 파라미터
# ndd -set /dev/tcp tcp_ip_abort_interval 60000
# ndd -set /dev/tcp tcp_ip_abort_cinterval 60000
DoS attack 확인사항
# netstat -an -f inet | grep SYN <--SYN_RCVD 수가 0이 아니면 의심
# netstat -s -P tcp <-- tcpListenDrop, tcpHalfOpenDrop이 빠르게 증가하면 의심
#
전에는 완전한 해결은 힘들다고 합니다.
완전한 해결책은 아니지만 o/s의 tcp 파라미터를 변경
하므로서 어느정도의 문제해결은 볼 수 있습니다.
syn flood attack과 관련해서 변경할 수있는 파라미터값을 적어봅니다.
현재 세팅값 먼저 확인하시고 적용해 보시기 바랍니다.
물론 영구등록은 /etc/system파일에 등록해 주셔야 겠지요~
세팅값 확인
ndd -get /dev/tcp 파라미터값
적용 파라미터
# ndd -set /dev/tcp tcp_ip_abort_interval 60000
# ndd -set /dev/tcp tcp_ip_abort_cinterval 60000
DoS attack 확인사항
# netstat -an -f inet | grep SYN <--SYN_RCVD 수가 0이 아니면 의심
# netstat -s -P tcp <-- tcpListenDrop, tcpHalfOpenDrop이 빠르게 증가하면 의심
#
Rss Feed