방화벽 설정 > 서비스 장애 보호 페이지에서는 보안 어플라이언스를 통과하는 TCP 트래픽에 대한 통계를 확인하고 TCP 트래픽 설정을 관리할 수 있습니다. 이 페이지는 네 섹션으로 구분됩니다.
• TCP 설정
• 레이어 2 SYN/RST/FIN 서비스 장애 보호 구성
• UDP 설정
• 트래픽 통계
TCP 설정 섹션에서 수행할 수 있는 작업은 다음과 같습니다.
• RFC 792 및 RFC 1122를 사용하여 엄격한 TCP 준수 적용 - 여러 TCP 시간 초과 규칙을 엄격하게 준수하려면 선택합니다. 이 설정은 TCP 보안 성능을 최대화하지만, Windows Vista 사용자의 창 크기 조정 기능에 문제를 일으킬 수 있습니다.
• TCP 핸드셰이크 규약 사용 – 모든 TCP 연결에 정상적인 3방향 TCP 핸드셰이크를 요구합니다.
• TCP 체크섬 규약 사용 - 잘못된 TCP 체크섬이 계산되면 패킷이 삭제됩니다.
• 기본 TCP 연결 시간 초과 – TCP 트래픽용 액세스 규칙에 할당되는 기본 시간입니다. 활성 TCP 세션이 이 설정 기간을 초과하면 방화벽에서 TCP 연결을 지웁니다. 기본값은 5분, 최소값은 1분, 최대값은 999분입니다. 참고: 연결 시간 초과를 너무 길게 설정하면 오래된 리소스의 재사용 속도가 느려지고, 극단적인 경우 연결 캐시가 고갈될 수 있습니다.
• 최대 세그먼트 수명(초) – TCP 패킷이 만료될 때까지 유효한 상태로 유지되는 시간(초)을 결정합니다. 이 설정은 FIN/ACK가 적절하게 교환되어 TCP 연결이 정상 종료되도록 하기 위해 능동적으로 닫힌 TCP 연결이 TIME_WAIT 상태를 유지하는 시간(최대 세그먼트 수명의 2배, 즉 2MSL로 계산됨)을 결정하는 데도 사용됩니다.
– 기본값: 8초
– 최소값: 1초
– 최대값: 60초
SYN/RST/FIN 서비스 장애 보호 기능을 통해 방화벽 뒤의 호스트를 DoS(서비스 거부) 공격 또는 배포된 DoS 공격으로부터 보호할 수 있습니다. 이러한 공격은 다음과 같은 공격 메커니즘 중 하나를 만들어 호스트의 사용 가능한 리소스를 사용하려고 시도합니다.
• 잘못되거나 스푸핑된 IP 주소를 사용하여 TCP SYN 패킷, RST 패킷 또는 FIN 패킷 전송
• 반개방 TCP 연결을 과도하게 생성
다음 섹션에서는 몇 가지 SYN 서비스 장애 보호 방법을 자세히 설명합니다.
• 상태 비저장 쿠키를 사용한 SYN 서비스 장애 보호
SonicOS부터 도입된 SYN 서비스 장애 보호 방법에서는 상태 비저장 SYN 쿠키를 사용합니다. 이 경우 SYN 서비스 장애 감지의 안정성이 향상되며 방화벽의 전체 리소스 사용률도 높아집니다. 상태 비저장 SYN 쿠키 사용 시 방화벽에서는 반개방 연결 상태를 유지하지 않아도 됩니다. 또한 임의 계산이 아닌 암호화 계산을 통해 SEQr에 연결합니다.
SonicOS에서는 서로 다른 두 환경, 즉 신뢰할 수 있는(내부) 네트워크 또는 신뢰할 수 없는(외부) 네트워크에서 생성되는 SYN 서비스 장애를 방지하는 여러 가지 기능을 제공합니다. 신뢰할 수 없는 WAN 네트워크로부터의 공격은 보통 방화벽을 통해 보호되는 하나 이상의 서버에서 발생합니다. 신뢰할 수 있는 LAN 네트워크로부터의 공격은 신뢰할 수 있는 하나 이상의 네트워크 내부가 바이러스에 감염되면 발생하여 하나 이상의 로컬 또는 원격 호스트에서 공격을 생성합니다.
이 두 공격 시나리오를 모두 방화벽을 통해 방어할 수 있도록 SonicOS에서는 서로 다른 두 레이어에 대해 별도의 두 가지 SYN 서비스 장애 보호 메커니즘을 제공합니다. 각 메커니즘은 SYN 서비스 장애 통계를 수집 및 표시하고, 중요한 SYN 서비스 장애 이벤트에 대한 로그 메시지를 생성합니다.
• SYN 프록시(레이어 3) – 이 메커니즘은 신뢰할 수 있는 네트워크 내의 서버를 WAN 기반 SYN 서비스 장애 공격으로부터 차단합니다. 이때 SYN 프록시 구현을 사용하여 WAN 클라이언트를 확인한 후 각각의 연결 요청을 보호되는 서버로 전달합니다. SYN 프록시는 WAN 인터페이스에 한해서만 사용하도록 설정할 수 있습니다.
• SYN 블랙리스트 지정(레이어 2) – 이 메커니즘은 특정 장치가 SYN 서비스 장애 공격을 생성하거나 전달하지 못하도록 차단합니다. SYN 블랙리스트 지정은 모든 인터페이스에서 사용하도록 설정할 수 있습니다.
앞서 설명한 두 SYN 서비스 장애 보호 메커니즘의 내부 아키텍처는 이더넷 주소(초기 SYN 패킷을 방화벽으로 보내는 대부분의 활성 장치)의 단일 목록을 기준으로 합니다. 이 목록을 SYN 조사 목록이라고 합니다. 이 목록에는 이더넷 주소가 포함되므로 장치는 IP 주소 또는 대상 주소를 고려하지 않고 SYN 패킷을 전달하는 장치의 주소를 기준으로 모든 SYN 트래픽을 추적합니다.
각 조사 목록 항목에는 적중 횟수라는 값이 포함됩니다. 장치가 해당 장치에서 초기 SYN 패킷을 받으면 적중 횟수 값이 증가합니다. 그리고 TCP 3방향 핸드셰이크가 완료되면 적중 횟수가 감소합니다. 특정 장치의 적중 횟수는 대개 장치에서 적중 횟수를 마지막으로 재설정한 이후 보류 중인 반개방 연결 수와 같습니다. 장치는 기본적으로 1초마다 적중 횟수를 재설정합니다.
로그 메시지 또는 상태 변경이 필요한지 확인할 때는 로깅, SYN 프록시 및 SYN 블랙리스트 지정의 임계값을 모두 적중 횟수 값과 비교합니다. SYN 서비스 장애 공격이 발생하면 스푸핑된 연결 시도 때문에 공격 패킷을 전달하는 장치의 보류 중인 반개방 연결 수가 크게 증가합니다. 공격 임계값을 올바르게 설정하면 정상적인 트래픽 흐름에서는 공격 경고가 거의 생성되지 않지만, 해당 임계값이 공격 때문에 네트워크 성능이 심각하게 저하되기 전에 공격을 감지 및 방지합니다.
단순화된 일반적인 TCP 핸드셰이크는 출발지에서 32비트 시퀀스(SEQi) 번호가 지정된 TCP SYN 패킷을 보내면 시작됩니다. 그러면 SEQi+1에 해당하는 ACK 및 임의의 32비트 시퀀스 번호(SEQr)를 보내 목적지가 SYN/ACK 패킷을 보내 수신된 시퀀스를 승인합니다. 또한 목적지는 출발지에서 보낸 ACK의 대기 상태를 유지합니다. 출발지의 ACK 패킷은 다음 시퀀스(SEQi+1)를 포함해야 하며, 목적지에서 수신한 시퀀스에 대한 승인도 포함해야 합니다(SEQr+1에 해당하는 ACK 전송). 이 교환 과정은 다음과 같습니다.
1. 출발지 -> SYN(SEQi=0001234567, ACKi=0) -> 목적지
2. 출발지 <- SYN/ACK(SEQr=3987654321, ACKr=0001234568) <- 목적지
3. 출발지 -> ACK(SEQi=0001234568, ACKi=3987654322) -> 목적지
목적지는 반개방 TCP 연결 상태를 모두 유지해야 하므로 목적지에서 처리하거나 지울 수 있는 속도보다 빠르게 SYN이 수신되면 메모리가 고갈될 수 있습니다. 반개방 TCP 연결은 3방향 핸드셰이크를 완료해도 설정된 상태로 전환되지 않습니다. 출발지와 목적지 사이에 있는 방화벽은 목적지로 작동하여 보호 대상인 실제 목적지(개인 호스트)에 대한 TCP 연결을 중개(프록시)합니다.
SYN 서비스 장애 보호 기능을 구성하려면 다음 그림과 같이 표시되는 방화벽 설정 > 서비스 장애 보호 창의 레이어 3 SYN 서비스 장애 보호 - SYN 프록시 부분으로 이동합니다.
SYN 서비스 장애 보호 모드는 반개방 TCP 세션과 고빈도 SYN 패킷 전송을 방어하도록 선택할 수 있는 보호 수준입니다. 이 기능을 사용하면 세 가지 SYN 서비스 장애 보호 수준을 설정할 수 있습니다.
• 가능한 SYN 서비스 장애 검사 및 보고 – 이 옵션을 사용하면 장치의 모든 인터페이스에서 SYN 트래픽을 모니터링하고 패킷 수 임계값을 초과하는 의심스러운 SYN 서비스 장애 활동을 장치가 기록할 수 있습니다. 이 기능을 사용해도 장치의 SYN 프록시가 설정되지는 않으므로 장치가 TCP 3방향 핸드셰이크를 수정하지 않고 전달합니다. 가장 범위가 낮은 수준의 SYN 서비스 장애 보호 기능입니다. 네트워크가 포함된 환경의 위험 수준이 높지 않으면 이 옵션을 선택합니다.
• 공격이 의심될 때 프록시 WAN 클라이언트 연결 – 이 옵션을 사용하면 초당 미완료 연결 시도 수가 지정된 임계값을 초과할 때 장치가 WAN 인터페이스에서 SYN 프록시 기능을 사용하도록 설정할 수 있습니다. 이 방법을 사용하면 장치가 공격 중에도 유효한 트래픽을 계속 처리할 수 있으며 성능이 저하되지 않습니다. 모든 WAN SYN 서비스 장애 공격이 중지되거나 장치가 SYN 블랙리스트 지정 기능을 사용해 모든 공격을 블랙리스트에 추가할 때까지 프록시 모드는 계속 사용됩니다. 중간 수준의 SYN 서비스 장애 보호 기능입니다. 네트워크가 내외부 소스에서 발생하는 SYN 서비스 장애 공격을 받는 경우 이 옵션을 선택합니다.
• 항상 프록시 WAN 클라이언트 연결 – 이 옵션을 사용하면 장치가 항상 SYN 프록시를 사용하도록 설정됩니다. 이 방법에서는 스푸핑된 모든 SYN 패킷이 장치를 통과하지 못하도록 차단됩니다. 이 옵션은 극단적인 경우를 대비한 보안 대책으로, 장치가 모든 TCP 포트의 포트 스캔에 응답하도록 지정됩니다. SYN 프록시 기능을 사용하여 장치가 모든 TCP SYN 연결 시도에 응답하도록 강제 지정되기 때문입니다. 따라서 성능이 저하되고 가양성이 생성될 수 있습니다. 네트워크가 포함된 환경의 위험 수준이 높은 경우에만 이 옵션을 선택합니다.
SYN 공격 임계값 구성
SYN 공격 임계값 구성 옵션을 통해 장치가 패킷을 삭제할 때까지 SYN 서비스 장애 활동의 제한 사항을 설정합니다. 장치는 WAN TCP 연결에 대한 통계를 수집하여 초당 최대, 평균 최대 및 미완료 WAN 연결 수를 추적합니다. 이러한 통계를 기준으로 장치는 SYN 서비스 장애 임계값의 추천 값을 제공합니다. 이 섹션에는 다음의 두 가지 옵션이 있습니다.
수집된 통계로부터 계산된 추천 값 – WAN TCP 연결 통계를 기준으로 추천 공격 임계값이 제공됩니다.
공격 임계값(불완전한 연결 시도 수/초) – 장치가 패킷을 삭제할 때까지 시도한 초당 미완료 연결 횟수의 임계값을 5에서 999,999 사이 값으로 설정할 수 있습니다.
SYN 프록시 옵션 구성
장치는 TCP 연결에 SYN 프록시를 적용할 때 작성된 SYN/ACK 회신을 사용하여 초기 SYN 패킷에 응답하고, 연결 요청을 서버로 전달하기 전에 응답의 ACK를 기다립니다. SYN 서비스 장애 패킷을 사용하여 공격하는 장치는 SYN/ACK 회신에 응답하지 않습니다. 방화벽은 이 유형의 응답을 보내지 않는 장치를 식별한 다음, 해당 장치의 스푸핑된 연결 시도를 차단합니다. SYN 프록시는 일반적으로 SYN/ACK 패킷에서 제공되는 TCP 옵션에 서버가 응답하는 방법을 확인하지 않고 방화벽에서 SYN/ACK 응답을 작성하도록 강제 지정합니다.
SYN 프록시 모드에서 WAN 클라이언트로 전송되는 옵션을 보다 세부적으로 제어하려면 다음의 두 개체를 구성하면 됩니다.
• SACK(Selective ACK) - 이 매개 변수는 Selective ACK 사용 여부를 제어합니다. SACK를 사용하도록 설정하면 하나 이상의 패킷을 삭제할 수 있으며, 수신 측에서는 발신 측에 수신된 데이터와 해당 데이터에 허점이 있는지 여부를 알립니다.
• MSS(최소 세그먼트 크기) – 이 개체는 TCP 세그먼트 크기의 임계값을 설정하여 세그먼트가 대상 서버로 보내기에 너무 커지지 않도록 합니다. 예를 들어 서버가 IPsec 게이트웨이인 경우 트래픽 터널링 시 IPsec 헤더용 공간을 제공하기 위해 수신되는 MSS를 제한해야 할 수 있습니다. 방화벽은 프록시 시퀀스 중에 작성된 SYN 패킷에 응답할 때 서버로 전송되는 MSS 값을 예측할 수 없습니다. 세그먼트 크기를 제어하려면 WAN 클라이언트로 전송되는 작성된 MSS 값을 제어하면 됩니다.
SYN 프록시 임계값 영역에 포함된 옵션은 다음과 같습니다.
• 모든 LAN/DMZ 서버는 TCP SACK 옵션을 지원 - 이 확인란을 선택하면 Selective ACK를 사용합니다. 이 경우 패킷이 삭제될 수 있으며, 수신 장치는 수신한 패킷을 표시합니다. WAN에서 액세스하는 방화벽으로 보호되는 모든 서버가 SACK 옵션을 지원하는 경우에만 이 확인란을 사용하십시오.
• WAN 클라이언트로 전송되는 MSS 제한(연결이 프록시되는 경우) - 최소 세그먼트 크기의 최대값을 입력할 수 있습니다. 기본값인 1460에 재정의 값을 지정하면 크기가 해당 값 이하인 세그먼트가 SYN/ACK 쿠키에 포함되어 클라이언트로 전송됩니다. 이 값을 너무 낮게 설정하면 SYN 프록시가 항상 사용하도록 설정된 경우 성능이 저하될 수 있습니다. 이 값을 너무 높게 설정하면 서버가 더 작은 MSS 값에 응답하는 경우 연결이 끊어질 수 있습니다.
– 최대 TCP MSS가 WAN 클라이언트로 전송. MSS 값으로, 기본값은 1460입니다.
Note 프록시 WAN 클라이언트 연결을 사용할 때에는 이러한 옵션을 신중하게 설정해야 합니다. 이러한 옵션은 SYN 서비스 장애가 발생할 때에만 연결에 영향을 끼치기 때문입니다. 이 옵션을 사용하면 공격이 진행되는 동안에도 적절한 연결을 유지할 수 있습니다.
• 항상 수신된 SYN 패킷을 기록. 수신되는 모든 SYN 패킷을 기록합니다.
레이어 2 SYN/RST/FIN 서비스 장애 보호 구성
SYN/RST/FIN 블랙리스트 지정 기능은 SYN, RST 및 FIN 블랙리스트 공격 임계값을 초과한 장치가 포함되어 있는 목록입니다. 방화벽 장치는 패킷 평가 프로세스에서 블랙리스트에 포함된 장치에서 전송하는 패킷을 삭제합니다. 따라서 이러한 패킷을 더 많이 처리할 수 있으므로 로컬 네트워크에서 발생하는 공격을 방어하는 동시에, WAN 네트워크에도 2계층 보호 기능을 제공합니다.
장치가 SYN/RST/FIN 블랙리스트와 조사 목록에 동시에 포함될 수는 없습니다. 블랙리스트 지정 기능을 사용하도록 설정하면 방화벽이 블랙리스트 임계값을 초과하는 장치를 조사 목록에서 제거하고 블랙리스트에 추가합니다. 반대로 방화벽이 블랙리스트에서 장치를 제거하면 이 장치가 조사 목록에 다시 추가됩니다. MAC 주소가 블랙리스트에 추가된 장치는 해당 장치에서 발생하는 서비스 장애가 종료된 후 약 3초가 지나면 블랙리스트에서 제거됩니다.
SYN/RST/FIN 블랙리스트 지정 영역에 포함된 옵션은 다음과 같습니다.
• SYN/RST/FIN 서비스 장애 블랙리스트 지정 임계값(SYN/초) – 초당 허용되는 SYN, RST 및 FIN 패킷의 최대 수입니다. 기본값은 1,000입니다. 블랙리스트를 지정하면 WAN 네트워크에서 발생하는 보다 심각한 공격 또는 더 활발한 로컬 공격을 차단하려고 하기 때문에 이 값은 SYN 프록시 임계값보다 커야 합니다.
• 모든 인터페이스에 SYN/RST/FIN 서비스 장애 블랙리스트 사용 – 이 확인란을 선택하면 방화벽의 모든 인터페이스에서 블랙리스트 지정 기능을 사용하도록 설정됩니다.
– WAN 시스템은 절대 블랙리스트에 지정 안 함 - 이 확인란을 선택하면 WAN의 시스템이 SYN 블랙리스트에 추가되지 않습니다. 방화벽의 WAN 포트를 오가는 트래픽이 중단될 수 있으므로 이 옵션은 선택하지 않는 것이 좋습니다.
– 항상 SonicWALL 관리 트래픽 허용 - 이 확인란을 선택하면 방화벽의 WAN IP 주소를 대상으로 한 블랙리스트에 있는 장치의 IP 트래픽이 필터링되지 않습니다. 따라서 관리 트래픽 및 라우팅 프로토콜이 블랙리스트에 있는 장치를 통해 연결을 유지할 수 있습니다.
기본 UDP 연결 시간 초과(초) - UDP 연결 시간이 초과될 때까지 허용할 유휴 시간을 초 단위로 입력합니다. 이 값은 개별 규칙에 설정하는 UDP 연결 시간 초과에 따라 재정의됩니다.
UDP 서비스 장애 공격은 일종의 DoS(서비스 거부) 공격으로, 원격 호스트에 있는 임의 포트에 많은 UDP 패킷을 보내는 방식으로 시작합니다. 그러면 공격 대상 시스템의 리소스가 공격 패킷을 처리하는 데 사용되어 결국 다른 클라이언트가 시스템에 연결할 수 없게 됩니다.
SonicWALL UDP 서비스 장애 보호는 "검사 및 차단" 방법을 사용하여 이러한 공격을 방어합니다. 어플라이언스는 지정된 대상으로 이동하는 UDP 트래픽을 모니터링합니다. 초당 UDP 패킷의 속도가 지정된 기간에 허용된 임계값을 초과하면 어플라이언스가 후속 UDP 패킷을 삭제하여 서비스 장애 공격을 방지합니다.
어플라이언스에서 구성한 DNS 서버로(부터)의 응답인 UDP 패킷은 UDP 서비스 장애 보호 상태에 상관없이 통과가 허용됩니다.
다음 설정을 통해 UDP 서비스 장애 보호를 구성합니다.
• UDP 서비스 장애 보호 사용 - UDP 서비스 장애 보호를 사용하도록 선택합니다.
• UDP 서비스 장애 공격 임계값(UDP 패킷/초) - 호스트, 범위 또는 서브넷으로 전송되는 초당 UDP 패킷의 속도로, UDP 서비스 장애 보호를 트리거합니다.
• UDP 서비스 장애 공격 차단 시간(초) – 어플라이언스가 이 기간의 공격 임계값을 초과하는 UDP 패킷 속도를 감지하면 UDP 서비스 장애 보호가 활성화되고 어플라이언스에서 후속 UDP 패킷을 삭제하기 시작합니다.
• UDP 서비스 장애 보호 대상 목록 – UDP 서비스 장애 공격으로부터 보호되는 대상 주소 개체 또는 주소 그룹입니다.
ICMP 서비스 장애 보호는 ICMP 서비스 장애 공격을 모니터링한다는 점을 제외하면 UDP 서비스 장애 보호와 같은 방식으로 작동합니다. 두 기능의 차이는 ICMP 서비스 장애 보호를 바이패스할 수 있는 DNS 쿼리가 없다는 점뿐입니다.
다음 설정을 통해 ICMP 서비스 장애 보호를 구성합니다.
• ICMP 서비스 장애 보호 사용 - ICMP 서비스 장애 보호를 사용하도록 선택합니다.
• ICMP 서비스 장애 공격 임계값(ICMP 패킷/초) - 호스트, 범위 또는 서브넷으로 전송되는 초당 ICMP 패킷의 속도로, ICMP 서비스 장애 보호를 트리거합니다.
• ICMP 서비스 장애 공격 차단 시간(초) – 어플라이언스가 이 기간의 공격 임계값을 초과하는 ICMP 패킷 속도를 감지하면 ICMP 서비스 장애 보호가 활성화되고 어플라이언스에서 후속 ICMP 패킷을 삭제하기 시작합니다.
• ICMP 서비스 장애 보호 대상 목록 – ICMP 서비스 장애 공격으로부터 보호되는 대상 주소 개체 또는 주소 그룹입니다.
방화벽 > 서비스 장애 보호 페이지에서는 다음 트래픽 통계를 제공합니다.
TCP 트래픽 통계 테이블에서는 다음에 대한 통계를 제공합니다.
• 열린 연결 수 – TCP 연결 출발지가 SYN을 보내거나 TCP 연결 목적지가 SYN을 받으면 증가합니다.
• 닫힌 연결 수 – 출발지와 목적지가 모두 FIN을 보내고 ACK를 받아 TCP 연결이 닫히면 증가합니다.
• 거부된 연결 수 – RST가 발견되고 목적지가 SYN_RCVD 상태이면 증가합니다.
• 중단된 연결 수 – RST가 발견되고 목적지가 SYN_RCVD 이외의 상태이면 증가합니다.
• 총 TCP 패킷 수 – TCP 패킷이 처리될 때마다 증가합니다.
• 통과된 유효성 검사된 패킷 수 – 다음 조건에서 증가합니다.
– TCP 체크섬 유효성 검사가 사용하도록 설정된 상태에서 TCP 패킷이 체크섬 유효성 검사를 통과한 경우
– SYN 서비스 장애 보호가 사용하도록 설정된 상태에서 유효한 SYN 패킷이 발견된 경우
– SYN 서비스 장애 보호가 사용하도록 설정된 상태에서 패킷에 있는 SYN 쿠키의 유효성이 정상적으로 검사된 경우
• 삭제된 잘못된 패킷 수 – 다음 조건에서 증가합니다.
– TCP 체크섬 유효성 검사가 사용하도록 설정된 상태에서 TCP 체크섬 유효성 검사에 실패한 경우
– TCP SACK 허용(Selective ACK, RFC 1072 참조) 옵션이 확인되었는데 계산된 옵션 길이가 잘못된 경우
– TCP MSS(최대 세그먼트 크기) 옵션이 확인되었는데 계산된 옵션 길이가 잘못된 경우
– TCK SACK 옵션 데이터가 최소값인 6바이트 미만으로 계산되었거나 모듈로가 블록 크기 4바이트와 일치하지 않는 경우
– TCP 옵션 길이가 잘못된 것으로 확인된 경우
– TCP 헤더 길이가 최소값인 20바이트 미만으로 계산된 경우
– TCP 헤더 길이가 패킷의 데이터 길이보다 크게 계산된 경우
• 삭제된 잘못된 플래그 패킷 수 – 다음 조건에서 증가합니다.
– SYN 서비스 장애 보호가 사용하지 않도록 설정된 상태에서 연결 캐시에서는 찾을 수 없는 SYN 이외의 패킷이 수신된 경우
– SYN 서비스 장애 보호가 사용하도록 설정된 상태에서 세션 설정 중에 플래그가 SYN, RST+ACK 또는 SYN+ACK가 아닌 패킷이 수신된 경우
: •: 패킷에 FIN, URG 및 PSH 플래그가 설정되어 있으면 TCP XMAS 스캔이 기록됩니다.
: •: 패킷에 FIN 플래그가 설정되어 있으면 TCP FIN 스캔이 기록됩니다.
: •: 패킷에 플래그가 설정되어 있지 않으면 TCP Null 스캔이 기록됩니다.
– SYN 이외의 플래그가 설정된 항목을 사용하여 새 TCP 연결을 시작하려고 시도하는 경우
– 설정된 TCP 세션 중에 SYN 플래그가 설정된 패킷이 수신되는 경우
– 설정된 TCP 세션 중에 ACK 플래그가 설정되지 않은 패킷이 수신되는 경우
• 삭제된 잘못된 시퀀스 패킷 수 – 다음 조건에서 증가합니다.
– 연결되어 있는 동안, 해당 시퀀스 번호가 연결에서 승인되지 않은 가장 오래된 시퀀스보다 작은 패킷이 수신되는 경우
– 연결되어 있는 동안, 해당 시퀀스 번호가 연결에서 승인되지 않은 가장 오래된 시퀀스 + 마지막으로 보급된 연결의 창 크기보다 큰 패킷이 수신되는 경우
• 삭제된 잘못된 승인 패킷 수 – 다음 조건에서 증가합니다.
– SYN 서비스 장애 보호가 사용하도록 설정된 상태에서 ACK 플래그가 설정되어 있고 RST 또는 SYN 플래그는 설정되어 있지 않은데 SYN 쿠키가 잘못된 것으로 확인된 패킷이 수신된 경우
– 시퀀스 번호 임의 설정 오프셋을 통해 조정된 패킷의 ACK 값이 연결에서 승인되지 않은 가장 오래된 시퀀스 번호보다 작은 경우
– 시퀀스 번호 임의 설정 오프셋을 통해 조정된 패킷의 ACK 값이 연결의 다음 예상 시퀀스 번호보다 큰 경우
TCP 트래픽 통계 목록의 아래쪽에서 SYN, RST 및 FIN 서비스 장애 통계를 확인할 수 있습니다. SYN 서비스 장애 통계는 다음과 같습니다.
• 최대 미완료 WAN 연결 수/초 – 방화벽이 작동된 이후 또는 마지막으로 TCP 통계를 지운 이후 기록된 보류 중인 초기 상태 반개방 연결의 최대 수입니다.
• 평균 미완료 WAN 연결 수/초 – 부팅 이후 또는 마지막으로 TCP 통계를 재설정한 이후의 총 샘플 수를 기준으로 한, 보류 중인 초기 상태 반개방 연결의 평균 수입니다.
• 진행 중 SYN 서비스 장애 공격 수 – 현재 SYN 서비스 장애 임계값이 초과된 개별 전달 장치의 수입니다.
• 진행 중 RST 서비스 장애 공격 수 – 현재 SYN/RST/FIN 서비스 장애 블랙리스트 지정 임계값이 초과된 개별 전달 장치의 수입니다.
• 진행 중 FIN 서비스 장애 공격 수 – 현재 SYN/RST/FIN 서비스 장애 블랙리스트 지정 임계값이 초과된 개별 전달 장치의 수입니다.
• 감지된 총 SYN, RST 또는 FIN 서비스 장애 공격 수 – 전달 장치에서 SYN 공격 임계값 또는 SYN/RST/FIN 서비스 장애 블랙리스트 지정 임계값 중 더 작은 값이 초과된 이벤트의 총수입니다.
• TCP 연결 SYN-프록시 상태(WAN만 해당) – WAN 인터페이스에서 현재 프록시 모드가 설정되어 있는지를 나타냅니다.
• 현재 SYN-블랙리스트에 올린 시스템 수 – 현재 SYN 블랙리스트에 있는 장치의 수입니다.
• 현재 RST-블랙리스트에 올린 시스템 수 – 현재 RST 블랙리스트에 있는 장치의 수입니다.
• 현재 FIN-블랙리스트에 올린 시스템 수 – 현재 FIN 블랙리스트에 있는 장치의 수입니다.
• 총 SYN-블랙리스트 지정 이벤트 수 – 장치가 SYN 블랙리스트에 추가된 인스턴스의 총수입니다.
• 총 RST-블랙리스트 지정 이벤트 수 – 장치가 RST 블랙리스트에 추가된 인스턴스의 총수입니다.
• 총 FIN-블랙리스트 지정 이벤트 수 – 장치가 FIN 블랙리스트에 추가된 인스턴스의 총수입니다.
• 거부된 총 SYN 블랙리스트 지정 패킷 수 – SYN 블랙리스트를 통해 삭제된 패킷의 총수입니다.
• 거부된 총 RST 블랙리스트 지정 패킷 수 – RST 블랙리스트를 통해 삭제된 패킷의 총수입니다.
• 거부된 총 FIN 블랙리스트 지정 패킷 수 – FIN 블랙리스트를 통해 삭제된 패킷의 총수입니다.
• 수신된 잘못된 SYN 서비스 장애 공격 쿠키 수 – 수신된 잘못된 SYN 서비스 장애 쿠키의 총수입니다.
UDP 트래픽 통계 테이블에서는 다음에 대한 통계가 제공됩니다.
• 열린 연결 수
• 닫힌 연결 수
• 총 UDP 패킷 수 – UDP 패킷이 처리될 때마다 증가합니다.
• 통과된 유효성 검사된 패킷 수 – 다음 조건에서 증가합니다.
– UDP 체크섬 유효성 검사가 사용하도록 설정된 상태에서 UDP 패킷이 체크섬 유효성 검사를 통과한 경우
• 삭제된 잘못된 패킷 수 – 다음 조건에서 증가합니다.
– UDP 체크섬 유효성 검사가 사용하도록 설정된 상태에서 UDP 체크섬 유효성 검사에 실패한 경우
– UDP 헤더 길이가 패킷의 데이터 길이보다 크게 계산된 경우
• 진행 중 UDP 서비스 장애 공격 수 – 현재 UDP 서비스 장애 공격 임계값이 초과된 개별 전달 장치의 수입니다.
• 감지된 총 UDP 서비스 장애 공격 수 – 전달 장치에서 UDP 서비스 장애 공격 임계값이 초과된 이벤트의 총수입니다.
• 거부된 총 UDP 서비스 장애 공격 패킷 수 – UDP 서비스 장애 공격이 감지되어 삭제된 패킷의 총수입니다.
ICMP 트래픽 통계 테이블에서도 UDP 트래픽 통계와 같은 범주의 정보를 제공합니다. 단 UDP 서비스 장애 공격 대신 ICMP 서비스 장애 공격에 대한 통계가 제공됩니다.