DDOS는 수천~수백만 대의 감염된 시스템이 특정 서비스에 동시에 트래픽을 발생시켜 정상 사용자가 서비스를 이용하지 못하게 만드는 공격이다.
공격목표는 보통 다음 중 하나이다.
네트워크 및 전송 계층을 대상으로 하는 공격
대역폭 또는 네트워크 장비 자원 고갈이 목적
웹 애플리케이션 계층을 대상으로 하는 공격
서버 및 애플리케이션 자원 고갈이 목적
- HTTP GET Flood
- HTTP POST Flood
- slowloris
하지만 인터넷 서비스가 대규모화되면서 공격 방식도 변화했다.
과거에는 소수의 공격자가 특정 서비스를 공격했다면,
현재는 수십만~수백만 대의 Bot을 이용해 하나의 서비스를 공격할 수 있게 되었다.
특히 다음과 같은 문제가 발생했다.
1. 네트워크 장비의 한계 (방화벽 대역폭을 넘는 공격)
2. 서버 자원의 한계 (연결과 세션의 고갈)
3. ISP 구간 포화 (서버 전 ISP회선 자체의 포화 )
이러한 문제 때문에 "공격을 서버 앞에서 막는 것이 아니라 인터넷 상에서 흡수해야 한다. "
라는 개념이 등장했다.
이것이 현대 Anti-DDOS의 시작이다.
즉 ,
Anti-DDoS는 크게
Detection System
↓
Diversion System
↓
Scrubbing Center
↓
Clean Traffic Delivery
↓
Origin Server
구조로 동작한다.
목표는 "공격 트래픽을 인터넷 구간에서 제거하고 정상 트래픽만 서비스 서버에 전달하는 것"이다.
공격을 가장 먼저 식별하는 시스템
정상 서비스도 트래픽이 갑자기 증가할 수 있다.
예를 들어 블랙프라이데이라던지, 콘서트 예매날이라던지, 수강신청 날에는 트래픽이 몰리게 된다.
따라서 트래픽이 증가한다고 해서 무조건 DDOS는 아니다.
수집정보
1. NetFlow
2. sFlow
3. IPFIX
4. Packet Sampling
5. Session 정보
분석항목
* PPS(Packet Per Second)
* BPS(Bit Per Second)
* CPS(Connection Per Second)
* Source IP 분포
* Destination 분포
* Entropy 분석
탐지 예시
-> 비정상 트래픽 증가 판단
결과
탐지 결과가 Attack으로 판단되면 Diversion System이 동작하여 트래픽을 Scrubbing Center로 우회시킨다.
역할
필요한 이유
[주요 기술]
BGP Diversion
BGP Flowspec
Anycast
결과
Scrubbing Center는 우회된 트래픽을 분석하여 공격 트래픽과 정상 트래픽을 분리하는 역할을 수행한다.
역할
내부 기능
Packet Filtering
Stateful Inspection
SYN Proxy
Rate Limiting
Behavioral Analysis
Threat Intelligence
역할
전달 방식
GRE Tunnel
MPLS
Private Link
Cloud Direct Connect

즉 Anti-DDoS는 "탐지(Detection) → 우회(Diversion) → 정제(Scrubbing) → 전달(Delivery)" 과정을 통해 공격 트래픽을 제거하고 정상 트래픽만 서비스에 전달하여 가용성을 유지하는 시스템이다.