어제부터인가 갑자기 외부에서 rdp를 통해서 내 서버로 접속하는데 여러번의 실패 현상이 발생했다. 서버에서 거부하고있다고 나오고 telnet으로 통신하려고해도 제대로 되지않는현상
그리고 웹으로 블로그 접근이나 cloud 서버에접근할때도 Timeout이 뜨곤했다.
당연히 원인 분석부터했는데.. 내부에서 접근하는걸로 이상없는걸로 확인이되서
외부 네트워크에서 내부로 통신하는 구간. 즉 공유기가 의심되어 여기저기 뜯어봤다.
보니까 아래 그림처럼 1초에 수십번씩 외부에서 공격이 들어오고있더라…
내기억으로는 Asus 공유기에는 도스 방어가있던데?? 라고해서 설명서를 찾아서 들어갔다.
참고 : https://www.asus.com/kr/support/FAQ/1031610
DoS 보호 기능을 활성화하면 의심스럽거나 비합리적인 패킷을 필터링하여 대규모 가짜 트래픽을 활용한 네트워크 플러딩을 방지할 수 있습니다.
ASUS 라우터는 다음의 방법을 활용하여 의심스러운 공격을 감지합니다.
1. SYN 플러딩 보호: 초당 1개의 TCP/SYN 패킷만 통과하도록 허용
2. 포트 스캐너 보호: 외부 포트 스캔 도구를 통한 포트 스캐닝으로부터 라우터 보호
3. 죽음의 핑: 초당 1개의 ICMP 패킷(유형 8)만 허용하거나 길이가 65535를 초과하는 ICMP 패킷을 차단합니다.
이 기능을 활용하면 의심스러운 패킷이 통과하는 것을 방지할 수 있지만 홈 네트워크는 대역폭이 대규모 패킷을 처리할 수 없으므로 DDoS 보닛 공격으로 마비될 가능성이 있습니다. DoS 보호는 DDoS 공격으로 인해 마비된 이후에 시스템이 복구될 수 있도록 하고 시스템 과부하가 발생하지 않은 경우 최소한 LAN-LAN 서비스가 작동하도록 해줍니다.
핵심은 1번.. SYN Flooding 보호이다. 설명을 보면 초당 1초의 TCP/SYN 패킷만 허용하기 때문에 DOS 방어를 켜놓으면 1초에 TCP/SYN 하나만 된다.
설정값 적용후에 시스템 로그
그래서 RDP연결을 시도할때 다른 패킷이 공유기와 통신하고있으면 내 통신은 씹혀버린다…
그래서 그냥 기능 off했다..ㅋㅋㅋ 나머지 보호는 연결되어있는 각 서버들에서 셋팅해주었다.
rdp는 ip제한을 걸어놔서 특정 ip가 아니면 접속할 수 없고 나머지 서버들도 기본적인 ip제어와 포트제어를 적절하게…
방화벽도 추가해야겠다..