SYN 공격(SYN Attack) 차단, TTL 값으로 손쉽게 해결!

게시자는 SYN 공격(SYN Attack)의 정확한 원인을 파악하지 못한 채, 공격을 감지하고 대응하는 데 어려움을 겪었다. SYN 플러드(SYN Flood) 공격의 경우, 다수의 SYN 요청을 보내 서버의 자원을 소모시키는 방식이다. 하지만, 게시자는 공격의 목적이나 배후에 대해 명확히 알지 못했다. IP 주소 스푸핑(IP Address Spoofing) 가능성, 공격의 지속성, 그리고 특정 지역(브라질) IP 주소에 집중된 점 등, 여러 의문점을 제기하며 근본적인 해결책의 필요성을 강조했다.

게시자는 iptables를 사용하여 TTL 값(Time To Live)을 기준으로 SYN 패킷(SYN Packet)을 차단하는 방법을 제시했다. 특히, 일반적인 TCP 연결에서 사용되는 TTL 값(64)보다 높은 값을 가진 패킷을 차단하는 방식으로, 공격 트래픽을 걸러내고자 했다. TTL 값(Time To Live)은 패킷이 네트워크를 거치는 동안 생존할 수 있는 시간을 나타내며, 이를 통해 특정 유형의 공격 트래픽을 식별하고 차단할 수 있다. 게시자는 이 방법으로 16시간 만에 17만 건 이상의 연결을 차단했다고 보고했다.

커뮤니티에서는 게시자의 TTL 값(Time To Live) 기반 차단 방식이 Windows 운영체제(Operating System)의 정상적인 트래픽까지 차단할 수 있다는 점을 지적했다. Windows는 기본적으로 TTL 값(128)을 사용하므로, 게시자가 설정한 70 초과 TTL 값 차단 규칙은 Windows 클라이언트(Client)의 접속을 막을 수 있다. 이는 특정 운영체제 사용자의 접속을 제한하는 결과를 초래할 수 있으며, 잠재적인 연결 문제를 야기할 수 있다.

커뮤니티에서는 SYN 공격(SYN Attack)에 대한 보다 효과적인 방어 기법으로 SYN 쿠키(SYN Cookies)와 연결 제한(Connection Limits)을 제안했다. SYN 쿠키(SYN Cookies)는 서버가 SYN 요청에 대해 가짜 SYN-ACK 패킷을 보내는 대신, 클라이언트의 IP 주소와 포트, 그리고 시퀀스 번호를 기반으로 쿠키를 생성하여 서버 자원을 보호한다. 또한, 특정 IP 주소로부터의 동시 연결 수를 제한하는 방법도 제시되었다. 이러한 방법들은 SYN 플러드(SYN Flood) 공격에 대한 보다 효과적인 방어 수단으로 고려될 수 있다.