◈ TCP Sync Flooding
: 특정 서버에게 도달 불가능한 다양한 출발지 IP 주소를 가지고 패킷을 전송(Source IP Spoofing)
TCP / ACK/Sync 패킷을 보내고 ACK를 기다리게해서 Session을 채워버림.
▷ 해결책
라우터에서 TCP Intercept를 사용.
◇ Intercept 모드
서버로 향하는 TCP 패킷을 라우터가 가로채어 대신 TCP ACK/Sync를 보내고, 상대측에서 ACK를 수신하면,
서버쪽으로 TCP Sync 패킷을 보내어 TCP 세션을 완성. 만약 설정값(default 30초) 이내에 ACK를 수신하지 못하면
클라이언트(원격장비)에게 리셋 패킷을 보내어 해당 세션을 종료
◇ Watch 모드
클라이언트와 서버간에 TCP 세션이 맺어지는 것을 관찰하고 설정값(default 30초) 이내에 TCP세션이 맺어지지 않으면
서버에게 TCP 리셋 패킷을 보내어 미완성 세션을 종료.
▶ 고려사항
1. 서비스를 제공하는 서버 앞단에 라우터가 존재하는지
2. 해당 라우터가 DDoS 트래픽을 커버할만큼인지(Session공격일 경우에만 사용 가능하겠지만..)
3. 해당 라우터에 TCP Intercept를 걸었을 때, 다른 서버에 서비스 영향을 미치지 않는지 (단독 라우터이면 Best)
서버쪽으로 TCP Sync 패킷을 보내어 TCP 세션을 완성. 만약 설정값(default 30초) 이내에 ACK를 수신하지 못하면
클라이언트(원격장비)에게 리셋 패킷을 보내어 해당 세션을 종료
◇ Watch 모드
클라이언트와 서버간에 TCP 세션이 맺어지는 것을 관찰하고 설정값(default 30초) 이내에 TCP세션이 맺어지지 않으면
서버에게 TCP 리셋 패킷을 보내어 미완성 세션을 종료.
▶ 고려사항
1. 서비스를 제공하는 서버 앞단에 라우터가 존재하는지
2. 해당 라우터가 DDoS 트래픽을 커버할만큼인지(Session공격일 경우에만 사용 가능하겠지만..)
3. 해당 라우터에 TCP Intercept를 걸었을 때, 다른 서버에 서비스 영향을 미치지 않는지 (단독 라우터이면 Best)