로바이

[ExpressRoute] 주요 네트워크 지점 설명

* 서버 Logging설정이 되어있는지 점검하고, 특이사항이 있는지 확인 필요!!

3) Priority : 심각도를 의미함

4)설정 예시

*.emerg      shutdown - h now                    //모든 장치의 emerg발생시 Shutdown
kern.*         /dev/console                            //커널 관련 로그를 /dev/console에 남김
authpriv.*    /var/log/sercure                       //xinetd접속 로그를 /var/log/sercure 남김

*.info;mail.none     /var/log/message          //모든 facility에서 발생하는 info이상 심각도(2-8)의
                                                                     이벤트를 로깅하되 mail Facility에서 발생하는 로그는 로깅하지 않음
*.*;auth,authpriv.none,local0.none      -/var/log/syslog         
                                                                 //모든 로그(*.*)를 /var/log/syslog에 기록하지만, 세미콜론(;) 이후의 facility들인
                                                                   auth, authpriv, local0 은 제외(none)하라는 것임. 화일이름 앞의 - 는 로그를
                                                                   파일에 바로 쓰지 말고 메모리에 로그를 가지고 있다가 디스크에 입출력 여유가
                                                                   있을 경우 쓰라는 의미임
                                                                (http://shallowsky.com/blog/linux/rsyslog-conf-tutorial.html 의 Rules Section참조)

• 파일 뿐 아니라 다른 곳으로도 로그를 보낼수 있음
  @IP, @[hostname] : 다른 서버로 로그 전달
  [사용자] : 지정한 사용자가 로그인 한 경우, 해당 사용자의 터미널에 표시
  * : 현재 로그인 되어 있는 모든 사용자의 터미널로 전달
  /dev/console, [터미널] : 지정한 터미널에 표시

1.Routing 확인 (목적지까지 최대 30홉을 지원하고 각 구간의 네트워크 상태를 확인)

• traceroute (Linux, 33434~33439/UDP 사용) [-option] IP/Domain/Hostname
• tracert (Windows, ICMP 사용) IP/Domain/Hostname

    →tcproute 등 다른 Utility 사용도 가능

   (예: tracert 127.0.0.1
          wildcard-tistory-fz0x1pwf.kgslb.com [xxx.xxx.222.33](으)로 가는 경로 추적:
          1     1 ms     1 ms     2 ms  xxx.xxx.219.1

          2      *           *           *         Request Time Out )

      → * : 패킷의 Trace 결과가 5초 이내에 도달하지 않으면 해당 왕복시간은 *로 표시

* traceroute Option

 -I(대문자 i) : traceroute의 옵션으로 UDP가 아닌 ICMP를 사용하여 라우팅 추적
 -n : 빠른 명령을 위한 DNS lookup 비활성
 -w seconds : 응답 패킷을 수신 받기 위한 시간(Default 5초)
 -q number : hop단 traceroute query수행 횟수(Default 3회)

* tracert Option

 -d : tracert의 옵션으로 주소를 호스트 이름으로 확인하지 않아서 빠른 결과 확인가능

 -h maximum_hops    대상 검색을 위한 최대 홉 수(Default 30홉)
 -j host-list       host-list에 따라 원본 라우팅을 완화(IPv4만 해당)
 -w timeout     각 응답의 대기 시간 제한(밀리초)
 -R                 왕복 경로를 추적(IPv6만 해당).
 -S srcaddr    사용할 원본 주소(IPv6만 해당).
 -4                 IPv4를 사용
 -6                 IPv6를 사용

** trace결과(*로 표시) 대응 방법

IPS(침입차단시스템), 방화벽 등의 접근통제에 의해 trace의 UDP 또는 ICMP패킷이 보안상의 이유로 차단되었거나
실제 해당 구간에 문제가 발생한 경우임

  - trace한 주소가 실제 존재유무 체크, 패킷이 멈춘 곳의 IP를 네트워크팀에 확인

  - trace 수행속도가 느리면 어느 지점에서 시간을 많이 잡아먹었는지 확인

2.Network Interface 확인(TCP/IP 프로토콜 진단)

• netstat [-option]

   (예: netstat -ant      // all, port by number, tcp
         프로토콜, 로컬 주소, 외부 주소, 상태, 오프로드상태 등을 출력)

* Option

-a 모든 소켓 정보를 출력(모든 연결 및 수신 대기 포트를 표시)

-b 외부와 통신하는 실행파일([]안에표시)과 프로토콜, 내외부정보를 출력
     (각 연결 또는 수신 대기 포트 생성과 관련된 실행 파일을 표시)
      [관리자권한으로만 수행 가능, 출력시간이 오래 걸림]

-r 라우팅 정보를 출력

-i [interval] 네트워크 인터페이스에 대한 정보를 출력
   (Windows는 -i 옵션없이마지막에 interval 숫자만 주면됨)

-s 프로토콜(IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP 및 UDPv6)에 대한 통계 정보를 출력

-n 외부 네트워크 정보(IP, Port)를 숫자로 출력

-e 이더넷 통계를 표시(인터페이스 통계, -s 옵션과 함께 사용가능)

-o 각 연결의 소유자 프로세스 ID를 출력

-t TCP만 출력

-u UDP만 출력

**State 필드정보
   6.네트워크 > TCP Diagram 참조      (https://roby.tistory.com/category/6.%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC)

**상세활용 참조블로그

김선광의 IT블로그 :  https://blog.naver.com/sunkwang0307/222601632550

3. Ping (접속할 host가 정상 운영되고 있는지 확인, ICMP 사용)

• ping [-option] IP/Domain/Hostname

    (예: ping 127.0.0.1 -t   //수동으로 멈출때까지 반복 수행, Default 4회)

* Option

-t : Ctrl+C로 중지 할 때까지 패킷 전송
  (예: ping 127.0.0.1 -t)
-i(interval) : Ping 주기 지정 옵션(Default 1초)
  (예: ping 127.0.0.1 -i 0.5  //0.5초 주기 패킷 송부)
-s : 전송 패킷 Size를 지정 (Windows : -l)
  (예: ping 127.0.0.1 -s 100 //100byte 크기 패킷 송부)

-w : 정한 시간동안 패킷 전송(Windows : 응답 대기시간-밀리초)
  (예: ping 127.0.0.1 -2 10    // 10초동안 패킷 전송)

-c(count) : 전송할 패킷 수 지정 (Windows : 없음)
  (예: ping 127.0.0.1 -c 10    // 패킷을 10번 전송)

-D : 결과 앞에 타임스탬프 출력 (Windows : 없음)
  (예: ping 127.0.0.1 -D)
-f(flood mode) : 빠른 속도로 패킷 전송하여 상태 확인 (Windows : 없음)
  (예: ping 127.0.0.1 -f)
-O : 전송한 패킷에 대한 응답 패킷을 출력, 어디서 오류 발생했는지 출력 (Windows : 없음)
  (예: ping 127.0.0.1 -O)

1.TCP 3way-handshaking

4계층의 대표적인 TCP는 신뢰성을 기반으로 설계된 프로토콜로서 서비스의 논리적연결(Session)을 담당하며 신뢰성 확보를 위해 3way-handshaking 방식으로 통신한다.

※ Sync Flooding : TCP의 특성을 이용한 해킹기법

- 공격자가 다수의 패킷을 서버로 보내고 ACK는 보내지 않아서 연결은 종료되지 않고 서버의 리소스가 소비되어 정상적인 사용자가 연결을 시도할 때, 서버 접속이 불가능하게 된다.

▶Sync Flooding 방어 방법 

- Syn Flooding 공격방어 및 완화를 위해서는 TCP프로토콕이 연결 지향성(Connection-Oriented)이라는 점을 이용하고

  Handshake과정에 위배된 TCP 패킷이 유입될 경우 비정상적인 트래픽으로 구분하여 차단하는 방법이 가장 효과적임

1)임계치 기반의 Syn Flooding 차단
방화벽의 IP당 Syn요청에 대한 PPS 임계치를 단계적으로 조정하여 Syn Flooding을 차단함

2)First Syn Drop(Spoofed) 설정에 의한 차단
Syn패킷을 보내는 클라이언트가 진짜 존재하는지를 파악하여 차단하는 방법으로 클라이언트로부터
전송된 첫번째 Syn을 Drop하여 재요청 패킷이 도착하는지를 확인하여 Spoofing 여부를 판단하고 차단함

3)Syn이외의 Flooding 공격 방어
Syn이외의 Flooding 공격을 방어하기 위해서는 다음과 같은 다양한 형태의 DDoS 방어 기법을 사용
먼저 정상적인 TCP세션 연결이후 정상적인 트랜잭션이 수해되는지에 대해 검증하여 만약 정상적인 트랜잭션이
일루어질 경우 서버로 전달해야 하고, 정상적인 트랜잭션 없이 TCP세션 연결만 수행할 경우에는 서버로 전달하지
않아야 서버에 부하 증가 현상을 막을 수 있음
또한 네트워크의 정상적인 환경에서 설정된 각 트래픽 유형별 임계치를 통하여 과도한 TCP세션 연결에 대해 차단

**TCP/IP Overhead 참고 링크 : http://tech.kakao.com/2016/04/21/closewait-timewait/

[TCP Diagram]

TCP 기반의 네트워크는 connection의 요청이나 종료를 대기하거나 서로간에 negociate 하기 위한 상태를 가지고 있다

2. TCP Diagram 상태 설명

3. TCP 상태 특징
1) TCP 연결은 양방향이므로, 양 측에서 각각 다른 상태를 관리하게 됨
- 즉, 다른 경로를 통해 `TCP 연결 설정` 및 `TCP 연결 종료`에 갈 수 있음

2) 2가지 다른 TCP 연결 설정 경로
- (능동 개방) Closed -> Listen -> SYN-Received -> Establshed
. 자발적으로 SYN 세그먼트를 보내며 연결 설정하는 경우
- (수동 개방) Closed -> SYN-Sent -> Established
. 수동적으로 SYN 세그먼트를 수신하며 연결 설정하는 경우
  -> 주로, 서버 응용이 TCP에게 상시적 연결 수용 및 대기

3. 다른 연결 종료 경로
- (수동 종료) Eatablished -> Close-Wait -> Last-ACK -> Closed
. 상대로부터 FIN 세그먼트를 받고, 이에대해 응답하며 종료하는 경로
- (능동 종료) Eatablished -> FIN-Wait-1 -> FIN-Wait-2 -> Time-Wait -> Closed
또는, Eatablished -> FIN-Wait-1 -> Closing -> Time-Wait -> Closed
. 자발적으로 FIN 세그먼트를 보내고, 응답을 기다리며 종료하는 과정

4. 세그먼트(전송 계층에서의 데이터 전송 단위) 설명

5. 비정상 종료 상황 예시