데모데이날 DOS 공격 대비 nginx rate limit 설정 추가

[praisebak]

개요

데모데이날 DOS 공격으로 서비스가 다운되는 문제를 피하기 위해 nginx 설정을 합니다.
https://velog.io/@praisebak/%EC%8B%A4%EC%8B%9C%EA%B0%84-%EB%8C%80%EC%9D%91
dos 공격을 받은 날

Before

약 50개의 요청이 모두 404(거부되면 503이 뜹니다)

After

이제는 약 10개 언저리 요청에 대해서 503요청으로 반환하면서 애플리케이션 단까지 가지 않게되었습니다.

이제 애플리케이션 로그에서도 찍히지않습니다!

설정

 limit_req_zone $binary_remote_addr zone=perip:100m rate=10r/s;

 location / {
     limit_req zone=perip burst=20 nodelay;

설정값 의미

• limit_req_zone $binary_remote_addr zone=perip:100m rate=10r/s;

  • 10r/s는 1초에 10개의 request를 의미합니다. 그 이상 요청을 제한됩니다.

• zone=perip:100m: 각 IP 주소의 요청 상태를 저장할 메모리 공간을 만듭니다.

  • 100m는 mb를 의미하며,약 160만개의 request만 버틸 수 있습니다.

• burst=20, burst는 유저가 10개의 이상의 요청을 보내면 지연큐로 가는데, 지연큐의 크기를 몇개까지만 허용할건지를 의미합니다.

  • 20개가 넘으면 모두 거부됩니다.

한계점

• ip가 바뀌면 뚫립니다!(DDOS 공격)
  • WAS단에서 유저 기반 요청을 필터링해야합니다.

이야기하고 싶은 부분

설정값에 대해서 다른 의견 있으시면 편하게 남겨주세요

[jumdo12]

검프가 우테코 아이피로 장난치면 우테코 아이피가 밴 되나요?

[praisebak]

밴이아니라 그 잠시동안 503이 뜨는 형태입니다
또한 설명을 좀 더 개선하자면

• zone=perip:100m의 정확한 의미

"160만 개의 request를 버틴다"기보다는 "160만 개(32비트 기준) 또는 80만 개(64비트 기준)의 IP 주소 상태를 저장할 공간"이라는 의미가 더 정확합니다. 즉, 동시에 수많은 IP가 접속했을 때 각 IP가 마지막으로 언제 요청을 보냈는지 기억하기 위한 메모리 공간입니다.

• burst=20의 동작 방식

"10개 이상의 요청을 보내면 지연 큐로 간다"는 설명보다는 "초당 10개라는 처리율(rate)을 초과하는 요청이 들어왔을 때, 그 초과분을 20개까지는 큐에 담아둔다"는 것이 더 정확합니다.

[jeyongsong]

CloudWatch에서 Nginx의 access.log 중 요청이 제한된(차단된) 항목만 필터링해서 볼 수 있다면 좋겠네요!