iptable 을 이용한 DDOS 차단에 관한 방법중 궁금한 것이 있어서 질문드립니다
글쓴이: pogusm / 작성시간: 목, 2013/04/25 - 3:09오전
http://www.c8korea.net16.net/hacking/documents/against_ddos.pdf
위 문서를 보면 아래와 같은 내용이 있습니다.
- 한 IP당 동시 접속량 제한, 이후 접속량 제한 초과시 IP 자동차단 :많은 IP에서 비정상적인 다량의 접속을 시도하므로 한 IP 에서의 접속량을 제한하고 이후에 접속량이 과다한 해당 IP 를 자동차단하도록할수 있다 # iptables -A FORWARD -m recent --name badguy --rcheck --seconds 300 -j DROP # iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 -m recent --name badguy --set -j DROP # iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 -j DROP 위의 3 줄을 실행하면 가능한데, 3 단순히 번째 룰인 # iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 -j DROP 만 실행하게 되면, 한 IP에서의 동시접속이 30회만 접속을 허용할뿐그 이상 접속을 하지 못하지만, 위의 두 룰을 함께 사용하게 되면 동시접속이 30회 이상 초과하는 를IP dynamic 하게 300초(5분)동안 자동 차단하게 된다. 동시접속수(30) 제한이나 차단시간(5 ) 분 은 각자 의 환경에 따라 적절히 설정하면 된다. 이때 과다접속으로 차단된 IP . 에 대한 정보는 다음과 같이 실시간으로 확인할 수 있다 # cat /proc/net/ipt_recent/badguy
그런데 "동시접속" 이란게 정확히 어떤 의미인지 모르겠습니다.
웹브라우저에서 빠르게 F5키를 누를 방법으로 테스트를 해봐도 차단은 되지 않습니다.
--connlimit-above 30 를 3~5 정도로 작게하고 웹브라우저에서 테스트를 해보면 차단이 발생하구요
처음엔 1초동안 동일IP에서 발생한 연속된 접속이 "동시접속"이 아닐까 라고 생각했었는데..
틀린 생각인거 같더라구요..
밀리세컨드 단위인건가요?
아님 전혀 다른 의미인걸까요?
조언 부탁드립니다.
Forums:
웹브라우저 2개가 동시에 진입하면?
웹브라우저 2개가 동시에 진입하면?
1초에 동시에 접속 시작! 이라는 개념이 아니라
아마 이런 내용일 수도 있겠는데요.
리눅스에서 터미널창을 여러개 열어서
ssh접속 중이라던가 하게되면 이게 동시접속에 들어갈 것 같네요.
접속 시작점이 동시라기보다 접속 중인것들을 동시접속으로 생각하자면...
터미널 창을 무한대로 열 수 있으나 위의 조건처럼 iptables이 동작하게되면
ssh 접속 창이 30개 이상으로 추가로 동작하지는 않을거 같네요.
같은 맥락에서
웹창을 다중으로 켜놓으면 될듯
댓글 달기