- TCP Intercept
- Server 앞에 위치한 Network Device(ex. Router, Firewall..)에서 SYN Flooding 공격을 방어할 수 있는 방법
중간에 위치한 Network Device가 Clinet와 Server가 교환하는 3-way handshakes 과정을 중간에서 가로챈 다음 자신인
Server인 척 Client 대신 Connecton을 맺는다.
만약 Client에게 최종 ACK를 30초 동안 수신하지 못할 경우에는 해당 연결을 차단
정상적으로 최종 ACK를 수신하게 되면 해당 Connection 정보를 Server에게 전달한다.
- TCP Intercept 모드는 다음과 같다.
1) Intercept 모드
-> Default (기본) 모드, 위의 설명처럼 중간에 위치한 Network
Device가 Server 대신 Connection을 수립하는 모드
2) Watch 모드
-> 수동적인 모드로 Network Device가 직접 Connection을 맺지 않고
Client와 Server 사이에서 3-way handshake 과정을 중간에서 지켜보다가
Client 측에서 최종 ACK를 전송하지 않을 경우 연결을 강제로 종료하게 만든다.
- L4 Switch의 경우도 'Delay Binding') 이라는 명칭으로 비슷한
기능을 지원한다.
1) watch 모드
<DSW1 / DSW2>
2) Intercept 모드
<DSW1/DSW2>
conf t
ip tcp intercept modr intercept
- 확인 방법
'network 보안' 카테고리의 다른 글
| GRE over IPSec VPN 및 이중화 (0) | 2016.09.05 |
|---|---|
| CoPP (Control Plane Policing) (0) | 2016.09.03 |
| IP Spooping Attack 방어 (0) | 2016.09.02 |
| IPSec VPN (1) | 2016.09.01 |
| IEEE 802.1X 인증(= dot1x 인증) (0) | 2016.09.01 |