DDOS공격, Limiting icmp unreach response

요즘 300만원을 주지 않으면 쇼핑몰을 다운시키겠다는 협박이 많이 있어난다.
수십대의 좀비PC를 컨트롤 할 수 있으면 가능한이고, 추적하기 힘들기때문에 오버추어의 상위
광고업체(돈좀있으니 광고를 한다는 생각?)에 협박을 많이 하는것 같다.

FreeBSD에서 DDOS공격의 하나인 ICMP flood attack 이 일어나게 되면,

Limiting icmp unreach response from 31377 to 200 packets/sec
Limiting icmp unreach response from 30094 to 200 packets/sec
Limiting icmp unreach response from 30958 to 200 packets/sec
Limiting icmp unreach response from 30992 to 200 packets/sec
Limiting icmp unreach response from 31039 to 200 packets/sec

위와 같은 메시지를 자주보게 된다. 주로 포트스캐닝할때 나타난다.
이러한 공격은 해당 서버의 네트워크의 자원을 고갈시키면서 정상적인 서비스를 불가능하게 만든다.
MRTG트래픽을 보니깐.. 200M 이상의 DDOS공격을 해오는듯..

위의 파란색그래프(트래픽유입,업로드)가 튄것을 볼 수 있다.

일단 FreeBSD에서

sysctl -w net.inet.udp.blackhole=1
sysctl -w net.inet.tcp.blackhole=2

위와 같이 설정하면,  어느정도 해결할 수 있다.

IP로그를 보려면,

sysctl -w net.inet.tcp.log_in_vain=1

을 설정하면 아래와 같이 나타난다.

Connection attempt to TCP 203.x.x.59:139 from 203.238.53.121:1762 flags:0x02
Connection attempt to TCP 203.x.x.59:139 from 203.238.53.121:1762 flags:0x02
Connection attempt to TCP 203.x.x.59:135 from 203.238.187.188:2610 flags:0x02
Connection attempt to TCP 203.x.x.59:139 from 203.238.51.239:4365 flags:0x02
Connection attempt to TCP 203.x.x.59:139 from 203.238.51.239:4365 flags:0x02
Connection attempt to TCP 203.x.x.59:139 from 203.238.51.239:2254 flags:0x02
Connection attempt to TCP 203.x.x.59:139 from 203.238.51.239:2254 flags:0x02
Connection attempt to TCP 203.x.x.59:135 from 203.238.187.188:2869 flags:0x02