작은 행복을 위한 시

--

Image by Pete Linforth from Pixabay

지난 UDP 53포트 과다 접속 에서 
iptables 제한 부분을 적용하려고 했더니 오류가 나서 적용이 안되었다.

아래와 같이 적용하면 문제없이 적용이 된다.

iptables -I INPUT -p udp --dport 53 -m state --state NEW -m recent --set
iptables -I INPUT 2 -p udp --dport 53 -m state --state NEW -m recent   --update --seconds 1 --hitcount 10 -j DROP

결과를 보면 아래와 같이 DROP이 발생하는 것을 확인할 수 있다.

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

 3087  190K            udp  --  *      *       0.0.0.0/0            0.0.0.0/0
        udp dpt:53 state NEW recent: SET name: DEFAULT side: source
   78  5616 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0
        udp dpt:53 state NEW recent: UPDATE seconds: 1 hit_count: 10 name: DEFAULT side: source


#DNSAttack #DNSFlood #네임서버 #해킹공격

--

업데이트(21.05.22) - UDP 53 포트(DNS) 접속 제한 참고

갑자기 네트워크 트래픽이 늘어나는 것을 확인했다.
스위치의 각 포트를 확인하여 해당 서버를 확인했다.
해당 서버의 부하나 트래픽은 큰 문제가 없어 보였다.
혹시나 해서 UDP 트래픽을 확인해 보니 역시나 UDP가 문제였다.

이것은 DNS Flood Attack (DNS Flooding)이라는 공격 방법으로 네트워크에 부하를 유발한다.

처리 방법은 
1. named에서 recusion no; 설정
2. iptables 제한
   

(53번 포트로 1초에 10번 이상 접속시도 차단) 
iptables -A INPUT -p udp -m udp –dport 53 -m state –state NEW -m recent –set –name DNS –rsource 
iptables -A INPUT -p udp -m udp –dport 53 -m state –state NEW -m recent –update –seconds 1 –hitcount 10 –rttl –name DNS –rsource -j DROP 
iptables -A INPUT -p udp -m udp –dport 53 -j ACCEPT 

으로 처리가 가능하다고 한다.

[참고사이트]
dns 해킹 공격 관련
https://idchowto.com/?p=1827