DDoS 방어 장비

JIWON·2025년 6월 4일

Network security

목록 보기
5/6
post-thumbnail

방화벽 이후의 공격은 정상적인 서비스가 불가능하도록 하는데 초점을 맞춘다. 이렇게 서비스를 방해하는 공격을 DoS(Denial of Service)라고 한다

하나의 컴퓨터에서 하나의 서비스를 불가능하게 하는 것은 한계가 있어서 다수의 공격자를 만들어 동시에 DoS 공격을 하는 DDoS 공격 방식으로 발전했다. 이러한 공격을 방어하기 위해 DDoS 전용 장비가 등장했다

DDoS 방어장비Value Metric 공격을 방어하기 위해서 트래픽 프로파일링 기법을 주로 사용하고 인터넷의 다양한 공격 정보를 수집한 데이터베이스를 활용한다.

Value Metric 공격 : 사용량이나 성능을 측정하는 지표를 악용해서 공격

  • 서비스 이용량 변조 : 공격 대상의 서비스 이용량을 과장되게 보이도록 Metric을 조작
  • 성능 지표 위변조 : CPU 사용률, 메모리 사용률, 네트워크 트래픽 등 과 같은 성능 지표를 조작해서 서비스의 성능이 저하되거나 마비되도록 할 수 있다.
  • 가격 변동 조작: Metric에 따라 가격이 결정되는 경우 메트릭을 조작해서 서비스 가격이 상승하거나 하락하도록 조작하여 금전적인 피해를 입히는 공격

1️⃣ DDoS 방어 장비 동작 방식

  • DDoS 탐지 장비방어 장비를 구분해서 탐지 장비가 공격을 수행하는 IP 리스트를 방어 장비나 ISP 내부에 전송을 해서 이 IP를 버리는 방식이 가장 흔한 방식이다

탐지 장비가 DDoS 공격인지 판별하는 방법

  • 데이터베이스를 이용하는 방식
    • 업데이트 되는 데 시간이 걸림
  • 평소 데이터 흐름을 습득해 일반적인 대역폭, 세션량, 초기 접속량, 프로토콜 별 사용량 등을 저장하고 있다가 이 습득한 데이터와 일치하지 않는 과도한 트래픽이 인입되면 알려주는 방식

2️⃣ 공격 타입

💠 Value Metric 공격

대용량의 트래픽을 사용해 공격 대상의 대역폭을 포화시키는 공격

  • 간단한 증폭 기술을 사용해서 생성하기 쉬움
  • 공격에 의해 생성된 트래픽 양은 최종 자원(웹 사이트 또는 서비스)에 대한 액세스를 완전히 차단할 수 있음
  • 쓸모 없는 패킷이 회선을 모두 차지해 정상적인 서비스 트래픽이 통과할 수 없음
  • NTP 증폭, DNS 증폭, UDP 플러딩, TCP 플러딩
  • 좀비 PC 를 이용한 공격
    • Value Metric 공격은 특정 시간에 특정 타겟을 공격하는 형태로 발생
    • 이런 공격을 하려면 미리 악성코드에 감염된 좀비 PC를 많이 확보해야 함
    • 최근에는 증폭 공격(수백 Gbps ~ 1Tbps 이상에 이르는 엄청나게 높은 대역폭의 공격)이 증가하는 추세인데 공격자가 적은 대역폭으로 중간 리플렉터에 패킷을 보내면 이 트래픽이 증폭되어 피해자 네트워크에 수십~수백배의 공격 트래픽이 발생

💠 Protocol

3, 4 계층 프로토콜 스택의 취약점을 악용해 대상을 액세스 할 수 있게 만드는 공격

  • 공격 대상이나 중간 위험 리소스의 처리 용량을 모두 사용해서 서비스 중단을 유발함
  • 네트워크 장비나 네트워크 보안 장비를 대상으로 하는 경우가 많음
  • 네트워크 장비의 CPU나 메모리 자원을 고갈시켜 정상적인 서비스를 불가능하게 함
  • Syn 플러드, Ping of Death

💠 Application

7계층 프로토콜 스택의 취약점을 악용하는 공격

  • 가장 정교한 공격으로 식별 및 완화가 가장 까다로운 공격
  • 대상과의 연결을 설정한 후 프로세스와 트랜잭션을 독점해 서버 자원을 고갈시킴
  • 애플리케이션 프로토콜 자체의 취약점이나 서비스를 제공하는 플랫폼의 취약점을 악용하는 경우가 많음
  • HTTP 플러드, DNS 서비스 공격, Slowloris 등

3️⃣ DDoS 방어

DDoS 방어 장비는 자동 프로파일링 기법을 지원하고 있어서 사전에 정의 공격 데이터베이스를 이용해 애플리케이션 방어도 가능하지만 DDoS 방어 장비의 주요 방어 목표Value Metric과 Protocol Attack 이다.

💠 Value Metric 공격 방어

  • 회선사용량 이상의 트래픽을 발생시켜 회선을 사용하지 못하도록 하는 공격이므로 회선을 공급해주는 ISP(인터넷 공급 사업자) 내부사용자 네트워크 최상단에 위치시켜서 이 공격을 완화해야 한다

  • 좀비 PC를 이용한 공격 방어

    • 이런 방식의 공격은 직접 DDoS 장비를 보유하는 것도 중요하지만 혼자서는 대부분 방어가 불가능하다
    • ISP 를 통한 방어Cloud DDoS 솔루션을 통해 서비스 네트워크로 트래픽이 직접 전달되지 않도록 해야 한다.
    • 이 공격을 막기 위한 방법으로 Cloud 기반의 DDoS 방어 서비스를 고려할 필요가 있다.

⏺️ Cloud 기반 서비스

  • DDoS, WAF 와 같은 별도의 보안 장비 없이도 다양한 DDoS 공격을 방어할 수 있다
  • 실제 서비스 앞에서 미리 클라이언트의 요청을 받아 처리한 후 문제가 없는 요청만 서버 쪽으로 전달하는 방식
  • 클라우드 기반 서비스의 최대 장점은 실제 서비스 네트워크가 가려지므로 네트워크 차원이나 대규모 볼류 매트릭 공격도 방어가 가능
profile
JIWON
이전 포스트

IPS 와 IDS

다음 포스트

VPN

0개의 댓글