-----------------------------------------
답변자가 기본적으로 참고할 내용입니다.
- 배포판(옵션)    : 
- 커널버전(옵션)
  : 
- 데몬버전(예:apache
 1.3.27) : 
- 데몬설치유형(RPM/컴파일/기타)
 : 
-----------------------------------------

저희 서버 하나가 udp_flooding 공격을 당했습니다.

갑자기 ssh 접속이 느려지고 데몬이 죽어서 혹시나 했는데
역시나

메일을 보니 22번 포트로 대량의 패킷을 보내고 있다는
관제센터의
경고문이 왔더군요.


제가 취한 조취 사항입니다.

우선 스위치에서 22번 포트를 차단시키려고 
스위치 접속하려 했으나
비번 몰라서 포기(짬밥이 딸려서)

우선 22번 포트로 공격이 들어오는 거니까 22번 포트를
막았습니다

iptables -A INPUT -P tcp --dport 22 -j DROP
이렇게 했습니다.

효과 전혀 없음
서비스는 안되고 서버에서는
printk: xxxx messages suppressed.
이런메세지가 계속 서버에서는 출력되고

돌아 버리기 일보 직적이었어요.


보시면 100메가 가량의 패킷이 쏟아져 들어오고 있습니다.

그런데 파란색이 out로 되어 있음
iptables -A OUTPUT -P tcp --dport 22 -j DROP
물론 효과 전혀 없었습니다.

그냥 22번 포트의 서비스를 막아버렸음

netstat -nlp
22번 포트가 내려져 있는것을 확인

역시 효과 전혀 없음

관제센터에 전화해서 공격하는 ip리스트를 받아서(600여개나
 됨)
iptables로 전부 막아버림

서비스가 정상적으로 된것 확인 (제 조치때문인지 공격을
멈춰서였는지
확인 불가)

==================================================================

이제 질문 드리겠습니다.

보시는 바와 같이 udp_floodig 공격이 들어오면 효과적인
대처법이 어떻게 되나요?

사실 아이피리스트 막는것이 효과가 있으려면 
iptables로 포트를 막았을때 효과를 봐야 했습니다.
나중에 아이피 막은것은 그냥 악으로 깡으로 할일 없어서
막은것입니다.

그리고 외부에서 패킷이 들어오는데
왜 파란색 그래프는 out으로 되어 있지요?

ssh의 포트 번호를 나중에는 아예 바꿔버렸습니다.

이것도 효과가 있는것인요..

공격이 들어온지 며칠되었습니다.
 여러가지로 공부를 했습니다만
뚜렷한 해결책을 발견 못했습니다..

그럼 즐겁고 좋은 하루 보내세요..