Anti-DDOS

hi2li·2026년 6월 13일

security

목록 보기
9/12

DDOS란?

  • Distributed Denial of service

    DDOS는 수천~수백만 대의 감염된 시스템이 특정 서비스에 동시에 트래픽을 발생시켜 정상 사용자가 서비스를 이용하지 못하게 만드는 공격이다.

공격목표는 보통 다음 중 하나이다.

  • 네트워크 대역폭 고갈
  • 서버 자원 (CPU사용량, 메모리 사용량, 연결수) 고갈
  • 애플리케이션 처리 능력 고갈
  • 비즈니스 중단 및 금전적 피해






DDOS 공격 유형

1. Layer 3/4 (Network DDOS)

네트워크 및 전송 계층을 대상으로 하는 공격
대역폭 또는 네트워크 장비 자원 고갈이 목적



  • UDP Flood
  • SYN Flood
  • ICMP Flood
  • Reflection / Amplification Attack
  • DNS Amplification
  • NTP Amplification
  • Memcached Amplification



2. Layer 7 DDOS

웹 애플리케이션 계층을 대상으로 하는 공격

서버 및 애플리케이션 자원 고갈이 목적

  • HTTP GET Flood
  • HTTP POST Flood
  • slowloris






Anti-DDOS의 등장배경

  • 초기 인터넷 환경에서는 방화벽과 IDS/IPS만으로 대부분의 공격을 방어할 수 있었다.

하지만 인터넷 서비스가 대규모화되면서 공격 방식도 변화했다.
과거에는 소수의 공격자가 특정 서비스를 공격했다면,
현재는 수십만~수백만 대의 Bot을 이용해 하나의 서비스를 공격할 수 있게 되었다.

특히 다음과 같은 문제가 발생했다.
1. 네트워크 장비의 한계 (방화벽 대역폭을 넘는 공격)
2. 서버 자원의 한계 (연결과 세션의 고갈)
3. ISP 구간 포화 (서버 전 ISP회선 자체의 포화 )

이러한 문제 때문에 "공격을 서버 앞에서 막는 것이 아니라 인터넷 상에서 흡수해야 한다. "

라는 개념이 등장했다.
이것이 현대 Anti-DDOS의 시작이다.





Anti-DDOS의 목표

  • Anti-DDOS의 목적은 공격을 차단하는 것이 아닌
    "정상 사용자의 서비스 가용성을 유지하는 것"이다.

즉 ,

  • 공격 트래픽 500Gbps
  • 정상 트래픽 1Gbps
    상황에서도 정상 1Gbps를 살려내는 것이 목표다.






핵심 구성 요소

Anti-DDoS는 크게

Detection System
↓
Diversion System
↓
Scrubbing Center
↓
Clean Traffic Delivery
↓
Origin Server

구조로 동작한다.

목표는 "공격 트래픽을 인터넷 구간에서 제거하고 정상 트래픽만 서비스 서버에 전달하는 것"이다.



1. Detection System

공격을 가장 먼저 식별하는 시스템

정상 서비스도 트래픽이 갑자기 증가할 수 있다.
예를 들어 블랙프라이데이라던지, 콘서트 예매날이라던지, 수강신청 날에는 트래픽이 몰리게 된다.

따라서 트래픽이 증가한다고 해서 무조건 DDOS는 아니다.

수집정보

1. NetFlow
2. sFlow
3. IPFIX
4. Packet Sampling
5. Session 정보

분석항목

* PPS(Packet Per Second)
* BPS(Bit Per Second)
* CPS(Connection Per Second)
* Source IP 분포
* Destination 분포
* Entropy 분석

탐지 예시

  • 평소 PPS : 50만
  • 현재 PPS : 5천만

-> 비정상 트래픽 증가 판단

결과

  • Normal
  • Warning
  • Attack

탐지 결과가 Attack으로 판단되면 Diversion System이 동작하여 트래픽을 Scrubbing Center로 우회시킨다.



2. Diversion System (우회 시스템)

역할

  • 공격 트래픽을 원본 서버로 보내지 않음
  • Scrubbing Center로 경로 변경

필요한 이유

  • 서버에서 필터링하기 전에 회선이 먼저 마비될 수 있음




[주요 기술]

BGP Diversion

  • BGP 경로 재광고
  • 트래픽을 Scrubbing Center로 유도

BGP Flowspec

  • 네트워크 레벨 필터링
  • 특정 트래픽 우회 또는 차단

Anycast

  • 동일 IP를 여러 POP에서 광고
  • 공격 트래픽 분산 수용

결과

  • 공격 트래픽이 서버가 아닌 Scrubbing Center로 이동


3. Scrubbing Center (정제 센터)

Scrubbing Center는 우회된 트래픽을 분석하여 공격 트래픽과 정상 트래픽을 분리하는 역할을 수행한다.

역할

  • 정상 트래픽과 공격 트래픽 분리
  • Anti-DDOS의 핵심 구성 요소

내부 기능

Packet Filtering

  • UDP Flood 제거
  • ICMP Flood 제거

Stateful Inspection

  • TCP 상태 추적
  • 비정상 연결 제거

SYN Proxy

  • 서버 대신 TCP Handshake 수행
  • SYN Flood 방어

Rate Limiting

  • 비정상 요청 수 제한

Behavioral Analysis

  • 사용 패턴 분석
  • Bot 탐지

Threat Intelligence

  • Botnet IP 차단
  • Known Bad IP 차단



4. Clean Traffic Delivery (정상 트래픽 전달)

역할

  • 정제된 정상 트래픽을 Origin Server로 전달
  • 사용자가 서비스에 정상적으로 접근할 수 있도록 지원

전달 방식

GRE Tunnel

  • 가장 일반적인 방식

MPLS

  • 통신사 환경

Private Link

  • 전용 회선 환경

Cloud Direct Connect

  • AWS
  • Azure
  • GCP



5. Origin Server

  • 정제된 정상 트래픽을 받아 실제 서비스를 제공
  • 사용자의 요청을 처리하고 응답 반환





전체 동작 흐름

1단계 : 공격 발생

  • Botnet이 대량 트래픽 생성
  • UDP Flood
  • SYN Flood
  • HTTP Flood

2단계 : Detection System

  • 트래픽 이상 징후 탐지
  • PPS 증가 확인
  • CPS 증가 확인
  • Entropy 분석

3단계 : Diversion System

  • BGP 경로 변경
  • Anycast 활용
  • 트래픽을 Scrubbing Center로 우회

4단계 : Scrubbing Center

  • 공격 패킷 분석
  • 공격 트래픽 제거
  • 정상 트래픽 분리

5단계 : Clean Traffic 생성

  • 정상 트래픽만 남음

6단계 : Origin Server 전달

  • GRE/MPLS 등을 통해 전달
  • 서비스 정상 운영

한 줄 요약

  • Detection : 공격 탐지
  • Diversion : 공격 트래픽 우회
  • Scrubbing : 공격 제거
  • Clean Traffic Delivery : 정상 트래픽 전달

즉 Anti-DDoS는 "탐지(Detection) → 우회(Diversion) → 정제(Scrubbing) → 전달(Delivery)" 과정을 통해 공격 트래픽을 제거하고 정상 트래픽만 서비스에 전달하여 가용성을 유지하는 시스템이다.

profile
Easy come , Easy go

0개의 댓글