dmesg 메시지, Possible SYN flooding

이 메시지는 네트워크 인터페이스가 SYN flooding 공격을 받고 있을 가능성이 있음을 나타냅니다.

Mar 1 10:46:56 mailserv kernel: [2477366.637321] possible SYN flooding on port 25. Sending cookies.
Mar 1 10:53:01 mailserv kernel: [2477730.560799] possible SYN flooding on port 25. Sending cookies.
Feb 11 09:29:01 mailserv kernel: [920398.445655] possible SYN flooding on port 25. Sending cookies.
Feb 11 09:35:05 mailserv kernel: [920761.595188] possible SYN flooding on port 25. Sending cookies.
Feb 11 10:46:58 mailserv kernel: [925067.426773] possible SYN flooding on port 25. Sending cookies.

 

이 로그 메시지는 메일 서버가 포트 25에서 SYN 플러딩 공격을 감지했음을 나타냅니다. SYN 플러딩 공격은 네트워크 서비스를 불안정하게 만들거나 사용 불가능하게 만드는 데너비스 서비스(DoS) 공격의 한 형태입니다. 공격자는 대량의 SYN 요청을 서버에 보내어 서버의 리소스를 고갈시키려고 시도합니다. 시스템은 이러한 비정상적인 트래픽을 감지하고, 연결을 성립하기 전에 클라이언트가 정상적인지 확인하기 위해 '쿠키'를 보내는 방식으로 대응하고 있습니다.

 

조치 사항은 방화벽과 네트워크 장비를 통해서 syn flooding이 맞는 것인지, 혹은 커널이 오해한 것 인지를 판단해야 합니다. 순수한 syn 패킷일 수도 있기 때문입니다.