##0. [문제] DDOS 공격이 지능화되면서, 공격 트래픽에 대한 신속한 탐지 및 완화(Mitigation)를 어렵게 하고 있다. 다음에 대하여 설명하시오. (25점)
(1) DDOS 공격 유형별(대역폭 공격, 세션 공격, 웹 HTTP 공격) 피해 증상을 설명하시오.
(2) DDOS 대응을 위한 Anti-DDOS 시스템의 대응 방식을 다음의 두 가지 경우로 나누어 설명하시오.
첫째, 공격 IP가 변조된 경우 인증 기능을 통해 대응하는 방식
둘째, 공격 IP가 변조되지 않은 경우 대응하는 방식
##1. 서론###- 정의: 지능형 DDOS 공격 대응 전략본 문제는 최근 지능화된 DDOS 공격의 주요 유형별(대역폭, 세션, 웹 HTTP) 피해 양상을 이해하고, Anti-DDOS 시스템이 공격 근원지의 IP 변조 여부에 따라 어떻게 다른 방어 메커니즘을 적용하는지를 설명하여 DDOS 완화(Mitigation)에 대한 기술적 대응 능력을 검증하는 데 목적이 있습니다.
###- 배경: 공격의 다차원적 진화와 대응의 복잡성DDOS 공격은 단순히 네트워크 대역폭을 고갈시키는 형태를 넘어, 정상 패킷으로 위장하여 서비스의 세션 테이블(Session Table) 자원이나 웹 애플리케이션 자원(CPU, 메모리)을 소진시키는 형태로 진화했습니다. 이러한 공격은 탐지 및 차단이 어려우며, 방어를 위해서는 공격 유형별 특성을 이해하고, IP 변조 여부 등 공격 특성에 맞는 정교한 방어 기술을 적용해야 합니다.
###- 목적: 서비스 가용성 확보를 위한 맞춤형 대응 체계 구축DDOS 대응의 핵심은 정상 사용자의 접근을 보장하면서 공격 트래픽만을 선별적으로 차단하는 데 있습니다. 이를 위해 공격 유형별 피해 증상을 정확히 파악하고, IP 변조 여부 등 상황별로 최적화된 Anti-DDOS 대응 기술을 적용하여 서비스의 가용성(Availability)과 연속성(Continuity)을 확보하는 것이 목적입니다.
##2. 본론###2.1. DDOS 공격 유형별(대역폭, 세션, 웹 HTTP) 피해 증상지능화된 DDOS 공격은 공격 대상 자원에 따라 크게 3가지 유형으로 나뉘며, 각기 다른 피해 증상을 유발합니다.
####가. 대역폭 공격 (Volumetric Attack)* 공격 목표: 네트워크 회선 및 장비의 처리 용량(Throughput) 고갈.
- 주요 유형: UDP/ICMP Flood, Reflection/Amplification (DNS, NTP 등) 공격.
- 피해 증상:
- 네트워크 지연/마비: 대량의 트래픽 유입으로 인해 네트워크 장비(라우터, 스위치)의 패킷 처리 속도가 급격히 저하되거나, 회선이 포화되어 모든 통신이 지연되거나 중단됩니다.
- 패킷 손실: 장비의 버퍼가 가득 차면서 정상/공격 패킷 모두가 드롭(Drop)되어 정상 서비스 접속이 불가능해집니다.
####나. 세션 공격 (State Exhaustion Attack)* 공격 목표: 방화벽, 로드밸런서, 웹 서버 등 상태 유지 장치(Stateful Devices)의 세션 테이블 자원 고갈.
- 주요 유형: SYN Flood 공격, 세션 테이블 오버플로우 공격.
- 피해 증상:
- 시스템 자원 고갈: 장비가 비정상적인 세션 연결 요청에 대해 응답을 기다리는 세션 정보를 과도하게 유지하게 되어, 메모리나 CPU 같은 시스템 자원이 고갈되고 정상적인 세션 연결(TCP Handshake)이 거부됩니다.
- 서비스 지연: 정상적인 연결 요청이 세션 테이블 확보를 위해 대기하면서 서비스 접속 시간이 현저히 길어집니다.
####다. 웹 HTTP 공격 (Application Layer Attack)* 공격 목표: 웹/WAS(Web Application Server)의 CPU, 메모리, DB Connection 등 애플리케이션 자원 고갈.
- 주요 유형: HTTP GET/POST Flood, Slowloris, HTTP Header/Parameter 조작 공격.
- 피해 증상:
- 부분적 서비스 장애: 공격 대상이 된 특정 URL 또는 기능(예: 검색, 로그인)에 대해서만 응답 속도가 느려지거나 오류가 발생합니다. 네트워크 대역폭은 정상이지만 서버의 CPU/메모리 사용률이 비정상적으로 치솟습니다.
- DB 부하 증가: 공격 요청이 DB 조회나 복잡한 처리를 유발할 경우, DB Connection Pool이 고갈되어 전체 서비스가 마비될 수 있습니다.
###2.2. Anti-DDOS 시스템의 대응 방식Anti-DDOS 시스템은 공격 IP의 변조 여부(Spoofing)에 따라 각기 다른 핵심 방어 메커니즘을 적용합니다.
####(1) 공격 IP가 변조된 경우 (Spoofed IP)의 인증 대응 방식공격 IP가 변조된 경우(예: Source IP Spoofing, 리플렉션/증폭 공격), 해당 IP를 차단하거나 통신을 시도하는 것은 무의미하며, 공격 트래픽의 유효성 자체를 검증하여 차단해야 합니다.
- 인증 기능 기반 대응 (Source Validation):
- 개념: Anti-DDOS 장비가 클라이언트(공격자 포함)에게 정상적인 응답을 유도하여 클라이언트가 실제 존재하는 IP이고 정상적인 통신 능력이 있음을 확인하는 방식입니다.
- 기술:
- SYN Cookie: SYN Flood 공격 시, 서버는 SYN+ACK 패킷을 보낼 때 ACK 번호 대신 암호화된 쿠키 정보를 포함합니다. 클라이언트가 정상이라면 이 쿠키를 포함하여 최종 ACK 패킷을 보내게 되고, 장비는 이를 확인하여 연결을 수립합니다. 변조된 IP는 응답을 받을 수 없어 최종 ACK를 보내지 못하고 세션이 차단됩니다.
- Client Puzzle (HTTP Challenge): 웹 공격 시, 클라이언트에게 간단한 CAPTCHA나 자바스크립트 기반의 연산 퍼즐을 제공하여 사람 또는 정상적인 브라우저임을 인증하게 합니다. 자동화된 봇(Bot)은 이를 해결하지 못하고 차단됩니다.
- 실무적 고려사항: 이 방식은 IP 변조 공격의 근원지(Source)를 직접 차단할 수 없으므로, 트래픽을 완화하면서 동시에 네트워크 레벨에서 비정상적인 패킷을 Dropping하는 필터링 기법과 병행해야 합니다.
####(2) 공격 IP가 변조되지 않은 경우 (Non-Spoofed IP)의 대응 방식공격 IP가 변조되지 않은 경우(예: C&C 서버의 명령을 받은 좀비 PC의 직접 공격), 해당 IP는 실제 공격 근원지이므로 신뢰도를 측정하여 차단하는 것이 가능합니다.
- 탐지 및 차단 기능 기반 대응 (Behavioral Analysis & Filtering):
- 개념: 각 IP 주소별, 또는 세션별 행위 패턴을 분석하여 정상 사용자의 행위 임계치를 벗어나는 경우 해당 IP를 격리하거나 차단합니다.
- 기술:
- 트래픽 임계치 기반 차단: 특정 IP 주소에서 들어오는 초당 패킷 수(PPS), 초당 요청 수(RPS) 등의 임계치를 설정하고 초과 시 해당 IP 주소를 일정 시간 동안 방화벽 블랙리스트에 등록하여 차단합니다.
- 행위 기반 분석 (Behavioral Analysis): 사용자별 요청 간격, 요청 URL 패턴, 세션 유지 시간 등을 정상 사용자와 비교하여 비정상적인 행위(예: 특정 페이지에만 과도하게 접속)를 보이는 IP를 식별하여 차단합니다.
- C&C 통신 차단: 공격을 지시하는 C&C 서버 IP나 도메인과의 통신을 내부 네트워크에서 차단하여 좀비 PC가 명령을 받지 못하게 합니다. (Client 측면 방어 전략)
- 실무적 고려사항: 임계치 설정을 너무 낮게 잡으면 오탐(False Positive)으로 인해 정상적인 사용자까지 차단하여 서비스 장애를 유발할 수 있으므로, AI/ML 기반의 자동 임계치 학습 기능을 활용하여 정교함을 높여야 합니다.
##3. 결론###- 요약: 통합 DDOS 방어 체계 구축 제언 (기술적 제언)DDOS 공격은 대역폭, 세션, 애플리케이션 자원을 동시에 고갈시키는 복합적인 형태로 진화하고 있으며, 이에 대한 방어는 공격 유형별 특화된 솔루션(Anti-DDoS, WAF, IPS)의 다층적 배치와 공격 IP의 변조 여부에 따른 맞춤형 대응 메커니즘 적용이 필수적입니다. 특히, IP 변조 공격에는 SYN Cookie나 Client Puzzle 같은 인증 기능을 통한 유효성 검증을, 비변조 공격에는 정교한 행위 기반 임계치 분석을 적용해야 합니다. 궁극적으로는 공격 트래픽의 완벽한 필터링을 통해 정상 트래픽만을 서비스 대상에 전달하여 서비스 가용성을 극대화해야 합니다.
###- 어린이버전 요약DDOS 공격은 나쁜 친구들이 우리 가게를 망가뜨리려는 일이에요. 대역폭 공격은 문 앞에 트럭을 잔뜩 세워 못 들어오게 하는 것이고, 세션 공격은 의자(세션)를 다 차지하고 주문을 안 하는 것이며, 웹 공격은 주방에 들어가 이상한 재료(자원)를 마구 써버리는 거예요. Anti-DDOS 시스템은 이럴 때, 누가 진짜 손님인지 가짜 손님인지 IP를 확인해서 문 열어주는 똑똑한 경비 시스템입니다.
