05SecureXL — DoS 완화(Rate Limiting·SYN Defender)SecureXL — DoS 완화(Rate Limiting·SYN Defender)

Rate Limiting 은 DoS 공격에 대한 방어 입니다. 지정한 출발지에서 오거나 지정한 목적지·서비스로 가는 트래픽을 제한 하는 규칙으로, SecureXL이 직접 집행 합니다. 제한 대상은 대역폭·패킷률, 동시 연결 수, 연결률 입니다.

설정은 두 갈래 명령으로 합니다 — fw sam_policy(quota 인자 사용) 와 fwaccel dos config 입니다(상세는 sk112454). 다만 특정 URL에는 적용할 수 없 고 모든 트래픽에 적용됩니다.

DoS 관련 상태는 fwaccel stats(전체 통계), fwaccel stats -d(드롭 통계), fw sam_policy get(활성 정책 규칙) 으로 모니터링합니다. 즉 공격이 의심되면 드롭 통계와 SAM 정책을 확인 해 Rate Limiting이 제대로 막고 있는지 봅니다.

Accelerated SYN Defender 는 SYN flood 공격을 가속 경로에서 방어 합니다. SYN flood는 TCP 연결의 SYN 패킷만 잔뜩 보내 연결 테이블을 고갈 시키는 공격인데, SYN Defender가 SecureXL 수준에서 이를 걸러 게이트웨이를 보호합니다.

정리하면, SecureXL의 DoS 완화는 Rate Limiting으로 과도한 트래픽(대역폭·연결 수·연결률)을 제한하고, Accelerated SYN Defender로 SYN flood를 가속 경로에서 막 는 두 축입니다. 둘 다 빠른 경로(SecureXL)에서 동작해 공격 트래픽이 느린 경로의 자원을 잡아먹기 전에 차단합니다. 세부 명령·옵션은 SecureXL 명령과 원문 해당 절을 참고하세요.