보안에 대한 내용만 다루는 RFC 를 보게 되다니, 세상 좋아졌군요.
RFC 4987 (2007년 8월)은 TCP syn flooding 공격에 대한 소개와 함께 기존에 OS 레벨에서 이루어진 다양한 대처 방안들을 비교, 분석하고 있습니다.
자료 내에도 적혀있듯이 관심의 초점이 OS 레벨에 맞추어져 있기 때문에, 대량의 패킷을 이용해 네트워크 대역폭을 고갈시키는 공격에 대해서는 다루고 있지 않습니다.
해당 자료는 TCP syn flooding 에 대한 기존의 대처 방안을
1. 필터링
2. Backlog 사이즈 상향 조정
3. SYN-RECEIVED 타이머 하향 조정
4. 기존에 생성된 Half-Open TCB 엔트리 재사용
5. SYN Cache
6. SYN Cookies
7. 다양한 기법의 혼용
8. 방화벽/프록시
로 분류한 후, 각 방법의 장단점을 설명하고 있습니다.
자료 내에서 어떤 결론을 내리고 있지는 않지만, 읽다보면 자연스레 5,6,8 기법을 혼용하는 것이 바람직하다는 결론이 나오네요.
내용이 쉬워서 30분 내에 읽을 수 있는 분량이니 심심풀이 삼아 읽어보시면 좋을 듯 합니다.
OS 내의 TCP 스택 구현에 대한 이해를 필요로 하므로 Linux 커널이나 BSD 커널의 TCP 구현에 대해 공부해보지 않은 분들 입장에선 약간 시간이 걸릴 수 있습니다. 이런 분들은 "Understanding Linux Network Internals" 나 "TCP/IP Illustrated, vol 2" 를 읽어보시면 앞으로의 업무에도 많은 도움이 될 것입니다.
RFC 4987 (2007년 8월)은 TCP syn flooding 공격에 대한 소개와 함께 기존에 OS 레벨에서 이루어진 다양한 대처 방안들을 비교, 분석하고 있습니다.
자료 내에도 적혀있듯이 관심의 초점이 OS 레벨에 맞추어져 있기 때문에, 대량의 패킷을 이용해 네트워크 대역폭을 고갈시키는 공격에 대해서는 다루고 있지 않습니다.
해당 자료는 TCP syn flooding 에 대한 기존의 대처 방안을
1. 필터링
2. Backlog 사이즈 상향 조정
3. SYN-RECEIVED 타이머 하향 조정
4. 기존에 생성된 Half-Open TCB 엔트리 재사용
5. SYN Cache
6. SYN Cookies
7. 다양한 기법의 혼용
8. 방화벽/프록시
로 분류한 후, 각 방법의 장단점을 설명하고 있습니다.
자료 내에서 어떤 결론을 내리고 있지는 않지만, 읽다보면 자연스레 5,6,8 기법을 혼용하는 것이 바람직하다는 결론이 나오네요.
내용이 쉬워서 30분 내에 읽을 수 있는 분량이니 심심풀이 삼아 읽어보시면 좋을 듯 합니다.
OS 내의 TCP 스택 구현에 대한 이해를 필요로 하므로 Linux 커널이나 BSD 커널의 TCP 구현에 대해 공부해보지 않은 분들 입장에선 약간 시간이 걸릴 수 있습니다. 이런 분들은 "Understanding Linux Network Internals" 나 "TCP/IP Illustrated, vol 2" 를 읽어보시면 앞으로의 업무에도 많은 도움이 될 것입니다.
덧글
쫑아 2008/03/03 13:03 # 답글
간만에 SYN Flooding에 대해서 보니까 어딘가 모르게 반갑네요 :)