MikroTik RouterOS의 "원시" 방화벽 옵션은 ICMP(인터넷 제어 메시지 프로토콜) 기반 공격을 포함하여 공격을 완화하는 강력한 도구입니다.

원시 방화벽은 패킷 처리의 초기 단계에서 작동하여 원치 않는 패킷이 기본 처리 이상으로 시스템 리소스를 소비하기 전에 효과적으로 처리할 수 있습니다.

ping 플러드(공격자가 피해자에게 ICMP 패킷을 쇄도하여 리소스를 소진시키는 DDoS 공격 유형)와 같은 ICMP 공격을 완화하려면 원시 테이블의 규칙을 사용하여 이 트래픽을 삭제하거나 제한할 수 있습니다.

이는 이 테이블의 규칙이 필터 및 NAT 테이블의 규칙보다 먼저 처리되어 조기 개입이 가능하고 라우터 성능에 대한 영향을 최소화하기 때문입니다.

ICMP 공격을 완화하기 위해 원시 방화벽에서 규칙 구성

다음은 ICMP 패킷을 제한하기 위해 원시 방화벽에서 규칙을 구성하는 방법의 예입니다.

1. MikroTik 라우터에 액세스하세요 Winbox, WebFig 또는 SSH를 통해.
2. "원시" 방화벽 섹션으로 이동:
   • Winbox 또는 WebFig에서: 다음으로 이동하세요. IP > Firewall 그런 다음 탭으로 Raw.
   • 명령줄에서: 다음 명령을 사용하십시오. /ip firewall raw.
3. ICMP 트래픽을 제한하는 규칙 추가:
   • Winbox 또는 WebFig의 경우: 클릭 + 새 규칙을 추가하려면 탭에서 General선택 icmp 분야 Protocol. 탭에서 Action선택 drop o limit 작업으로 선택하고 필요에 따라 매개변수를 구성합니다.
   • 명령줄에서 다음과 유사한 명령을 사용합니다. /ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet.

이 예는 기본적으로 다음과 같이 말합니다. "8개 패킷 버스트로 초당 10개 패킷 제한을 초과하는 ICMP 유형 20(에코 요청) 패킷을 삭제합니다." 예상되는 정상 트래픽과 네트워크 용량을 기준으로 한도와 버스트를 조정하세요.

고려

• 정도: 네트워크 진단 및 흐름 제어에 유용한 합법적인 ICMP 트래픽을 차단하지 않도록 규칙을 정확하게 구성해야 합니다.
• 모니터링: ICMP 트래픽을 정기적으로 모니터링하여 관찰된 동작을 기반으로 규칙을 조정하고 오탐지를 방지하는 것이 좋습니다.
• 상보성: 원시 방화벽은 공격 완화에 효과적이지만 완전한 보호를 위해 필터 테이블의 방화벽 규칙과 같은 다른 보안 조치와 함께 사용하는 것이 좋습니다.

원시 방화벽을 사용하면 ICMP 공격을 완화하는 효과적인 방법이 될 수 있지만 이는 네트워크 보안에 대한 보다 광범위하고 전략적인 접근 방식의 일부여야 합니다.