1. 버퍼오버플로우 공격 예방
실행시 마다 메모리 주소를 변경하는 ASLR을 설정하는 방법이다.
sysctl –w kernel.randomize_va_space=2
0 : 무효
1 : heap 이외 랜덤
2 : 모두 랜덤
2. ip forward 하는 방법
IP Forwarding : 자신의 MAC 주소로 온 데이터인데 목적지 IP가 다르면
해당 목적지로 데이터를 포워딩함
sysctl -w net.ipv4.ip_forward=1
0 : 포워딩 하지 않음
1 : 포워딩 활성화
3. TCP SYN Flooding 공격 예방
tcp syncookie는 상대방을 인증하는 표준 TCP 기술
서버 앞단 L4/방화벽에 tcp_syncookes 설정
sysctl –w net.ipv4.tcp_syncookies=1
0 : false
1 : true
서버의 backlog queue의 크기를 늘린다
sysctl –w net.ipv4.tcp_max_syn_backlog = SIZE
4. ICMP Redirect 공격 대응
라우팅 테이블이 변경되지 않도록 ICMP Redirect옵션을 해제
accept_redirects 커널 파라미터를 0으로 설정
sysctl -w net.ipv4.conf.all.accept_redirects=0
ICMP Redirection 메시지를 전송하지 않음
sysctl -w net.ipv4.conf.default.send_redirects=0
5. ping 차단하기
sysctl -w net.ipv4.icmp_echo_ignore_all = 1
0 : 허용
1 : 차단
6. 스머프(Smurf) 공격 대응 설정
Directed Broadcast주소를 대상으로 한 ICMP Echo Request 메시지 수신 시
이를 무시하는 설정
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
댓글 없음:
댓글 쓰기