DDoS 차단 설정

DDoS(Distributed Denial of Service) 차단 기능은 행동 기반 규칙에 의해 DDoS 공격이 탐지되고, 처리 방법으로 DDoS 공격 차단이 지정된 경우에 동작합니다. DDoS 차단 설정 방법은 다음과 같습니다.

1. 메뉴에서 네트워크 침입 방지->DDoS 차단->DDoS 차단 설정을 선택합니다.

2. 기본 설정에서 필요한 항목을 설정합니다.

• 정책 적용 시간: DDoS 공격으로 탐지된 출발지 네트워크에 대해서 정책 적용 시간에 설정한 시간 동안 DDoS 차단 설정이 적용됩니다. 설정한 시간이 지나면 차단이 자동으로 해제됩니다. 기본 값은 300초이며, 1~1800 사이의 값을 입력합니다.

• DDoS 감시 포트 설정: DDoS를 탐지를 적용할 물리적 포트를 설정합니다. 모든 물리적 포트에 대해서  DDoS 공격을 감시하는 것은 비효율적이며 시스템에 부하를 줄 수 있습니다. 장비의 물리적 포트 가운데에서 DDoS 공격을 감시할 물리적 포트를 선택한 다음  을 눌러 DDoS 감시 포트에 추가하십시오. DDoS 감시 포트에서 물리적 포트를 삭제하려면 삭제할 물리적 포트 뒤에 있는 을 누릅니다.

• TCP SYN Flooding 응답 MSS 값: TCP SYN Flooding을 유발하는 좀비들은 일반적으로 SYN Cookie에 응답하지 못합니다. DDoS 감시포트를 통해 다량의 SYN 패킷을 받으면 TrusGuard는 SYN Cookie로 응답합니다. 정상적인 경우라면 통신 상대방은 SYN Cookie로 주어진 MSS 값에 따라 정해진 Seq 번호가 담긴 ACK 패킷으로 응답합니다. 상대방이 SYN Cookie에 응답하지 않으면 DDoS 공격으로 간주하여 TCP 세션 연결을 차단합니다. 기본 값은 1460 바이트이며 1000~1460 사이의 값을 입력할 수 있습니다.

• Network Segment Protection: 사용 여부를 선택합니다. 초당 TCP SYN 패킷, ICMP 또는 UDP 패킷이 IP 대역별 차단 기준보다 많이 들어 오는 경우 동작합니다.  특정한 네트워크 대역에서 트래픽이 과도하게 발생할 경우 해당 네트워크 대역의 트래픽을 제한하여 네트워크 공격을 방어합니다. 기본적으로 사용하지 않도록 설정되어 있습니다.

• IP 대역별 차단 기준: TrusGuard는 특정한 IP 대역에서 IP 대역별 차단 기준 이상으로 과도하게 트래픽이 발생할 경우 해당 IP 대역을 차단합니다. IP 대역별 차단 기준의 기본 값은 120000 패킷이며 10000~300000 사이의 값을 입력할 수 있습니다.

• HTTP GET Flood 공격 차단: HTTP GET Flood 공격 차단 기능의 사용 여부를 설정합니다. HTTP GET Flood 공격은 DDoS 공격의 일종으로 세션을 연결한 다음 HTTP GET 명령어를 계속해서 송신하여 웹 서버에 부하를 주는 공격 기법입니다. 기본적으로 사용하지 않도록 설정되어 있습니다.

• HTTP 포트:  웹 부하 공격을 차단할 TCP 포트를 설정합니다. 기본 값은 80입니다.

3. 확인을 누릅니다. 설정이 올바르지 않으면 다음과 같은 메시지가 나타날 수 있습니다.

• DDoD 차단 설정은 행동 기반 규칙이 필요합니다. 먼저, 행동 기반 규칙을 업데이트 하십시오.: 행동 기반 규칙을 업데이트하지 않고 DDoS 차단 설정을 눌렀을 때

• 정책 적용 시간을 입력하십시오.: 정책 적용 시간을 입력하지 않았을 때

• 잘못된 정책 적용 시간입니다.: 정책 적용 시간의 입력 범위를 초과했을 때

• WAN 네트워크 포트를 설정하십시오.: WAN 네트워크 포트를 하나도 설정하지 않았을 때

• 잘못된 포트 번호입니다.: HTTP GET flood 공격 차단에서 사용하는 HTTP 포트의 입력 범위를 초과했을 때

• 포트 번호를 입력하십시오.: HTTP GET flood 공격 차단에서 사용하는 HTTP 포트를 입력하지 않았을 때

• 잘못된 MSS입니다.: TCP SYN Flooding 응답 MSS 값의 입력 범위를 초과했을 때

• MSS를 입력하십시오.: TCP SYN Flooding 응답 MSS 값을 입력하지 않았을 때

• IP 대역별 차단 기준을 입력하십시오.: IP 대역별 차단 기준을 입력하지 않았을 때

• 잘못된 IP 대역별 차단 기준입니다.: IP 대역별 차단 기준의 입력 범위를 초과했을 때

4. 변경 사항 적용을 눌러 변경된 내용을 적용합니다.

참고

HTTP Get Flood 차단을 사용하려면 네트워크 침입 방지->IPS 정책->IPS 정책 목록에서 사용하는 DDoS 규칙 그룹의 처리 방법이 DDoS 공격 차단이거나 DDoS 규칙 그룹에 속한 규칙의 처리 방법이 하나라도 DDoS 공격 차단이어야만 합니다.