DDoS Protection 개요
AI, 머신러닝.. IT 기술 발전과 함께 사이버 위협도 같이 발전하고 증가하는 시대가 되었습니다.
최근 온라인 스트리머와 BJ들에게, 또 리그오브레전드 게임 대회(LCK)에 가해진 디도스 공격을 보면서 이제 누구나 디도스 공격의 피해자가 될 수 있다는 걸 실감합니다 😰
온라인에서 서비스를 제공한다면 이제 누구나 디도스 공격의 대상이 될 수 있기에, 기업 네트워크와 애플리케이션을 보호하는 것이 한층 더 중요해졌습니다.
DDoS 공격의 특성, 다양한 DDoS 공격 유형, 강력한 DDoS 방어 전략의 중요성을 이야기하면서,
네트워크 옵저버빌리티가 DDoS 방어에 있어 어떤 역할을 하는지 말씀드려볼게요.
DDoS 방어란?
DDoS 방어는 DDoS 공격으로부터 네트워크, 애플리케이션, 서비스를 방어하는 프로세스입니다.
DDoS 방어를 거시적으로 보면, 서버에 공격이 가해지기 전에 DDoS 위협이 있다는 것을 미리 탐지하고 미연에 공격을 방지하는 행위까지 모두 포함됩니다.
그래서 DDoS 공격을 제대로 방어하려면 트래픽 모니터링, 네트워크 필터링, Rate limiting 등 다양한 기술과 솔루션을 사용하여 정상 서비스 트래픽에 영향을 주지 않으면서 DDoS 공격 트래픽으로부터 인프라를 보호해야 합니다.
DDoS 공격의 규모와 치밀함이 계속 진화하기에, 기업들은 IT 인프라를 보호하고 온라인 서비스를 원활하게 유지하기 위해 강력한 DDoS 방어 전략을 구현하는 것이 점점 더 중요해지고 있습니다.
DDoS 공격이 뭐길래?
DDoS 공격은 대규모의 Source(수백, 수천대의 컴퓨터, 서버, IoT 기기)를 사용하여 대규모의 공격 트래픽을 보내서 타겟 서버의 리소스(CPU, 네트워크 등)를 다운시키거나 성능을 저하시키려는 행위입니다.
DDoS 공격은 주로 네트워크 대역폭, 프로세스, 메모리와 같은 타겟 시스템의 리소스 사용률을 100%에 가까이 만들어서, 정상적인 유저들의 접속을 불가하게 만들어서 서비스를 다운시키고자 합니다.
DDoS 공격의 피해자가 되면 상당한 금전적 손실과 브랜드 가치 손상, 나아가 대규모의 유저 이탈까지 경험할 수 있습니다.
DDoS 공격 유형
DDoS 공격자는 여러 Source로부터 대규모의 공격 트래픽을 타겟 시스템에 쏟아 부어버립니다.
DDoS 공격자가 공격 트래픽을 어떻게 구성하냐에 따라 방어하기가 어려워질 수 있고, 그 피해 규모도 달라질 수 있습니다. 이런 어려움을 잘 아는 DDoS 공격자들이 더 많은 DDoS 공격 유형을 만들어내기 때문에, DDoS 공격을 막아내기가 점점 더 어려워지고 있는거죠.
Volume-based DDoS
볼륨 기반 공격은 대량의 트래픽을 생성하여 타겟 시스템의 네트워크 대역폭을 꽉 채워버리는 것을 목표로 합니다. 타겟 시스템의 네트워크 대역폭이 꽉 차게되면 정상 유저들의 트래픽을 처리할 수 없게 되죠.
-
UDP Flood
대량의 UDP 패킷을 전송해서 타겟 시스템의 패킷 처리 리소스를 모두 사용해버립니다. -
ICMP Flood
'Ping Flood'라고도 하는 이 공격은 수많은 ICMP 패킷, 즉 'Ping'을 타겟 시스템에 전송해서 네트워크 리소스를 소모하게하여 네트워크 접속을 불가하게 합니다. -
Spoofed-packet Flood
이 공격은 정상적인 유저들의 Source IP 주소를 탈취한 뒤, 공격자 자신의 IP 주소대신 정상 유저들의 IP로 대량의 패킷을 전송하여 타겟 시스템에서 DDoS 공격을 탐지하고 트래픽을 필터링하기 어렵게 만듭니다.
Protocol DDoS
프로토콜 공격은 네트워크 프로토콜의 취약점을 악용하여 타겟 시스템의 리소스를 소모하게 만듭니다.
이 공격은 네트워크에서 표준화되어 사용되는 통신 프로토콜 중 하나를 타겟 시스템이 받아들이지 못하게 하여 서비스를 중단시킵니다.
-
SYN Flood
이 공격은 타겟 시스템에 수많은 SYN 요청을 전송하여 불가능한 세션 연결에 리소스를 사용하게하여 결국 사용 가능한 모든 리소스를 소모하게 하는 것입니다. -
Ping of Death
이 공격은 비정상적이거나 크기가 큰 ICMP 패킷을 전송하여 Buffer overflow로 인해 타겟 시스템이 충돌하거나 응답하지 않게 만듭니다. -
Smurf 공격
이 공격은 네트워크 브로드캐스트 주소로 ICMP Echo(Ping)를 전송하여 네트워크 내 모든 디바이스들이 동시에 응답하게 만듭니다. 이로써 타겟 시스템의 네트워크에는 트래픽 과부하가 발생하게 됩니다.
Application-layer DDoS
애플리케이션 계층의 DDoS 공격은 특정 서비스를 대상으로 애플리케이션 자체의 취약점을 악용하거나 공격 대상의 리소스를 고갈시켜 서비스를 중단시킵니다.
-
HTTP Flood
타겟 웹 서버에 대량의 HTTP 요청을 전송하여 리소스 과부하를 일으켜 속도가 느려지거나 응답을 할 수 없도록 만듭니다. -
Slowloris
타겟 서버에 HTTP 요청을 부분적으로 전송하여 타겟 서버가 HTTP 세션을 최대한 오래 열어두게하여 서버의 리소스를 서서히 소진시키는 공격입니다. -
DNS Query Flood
DNS 서버를 대상으로 대량의 DNS 쿼리를 전송하여 타겟 DNS 서버의 과부하를 유발하여 정상적인 유저들의 DNS 서비스 사용을 불가하게 만드는 공격입니다.
Infrastructure-layer DDoS
인프라 계층에서의 DDoS 공격은 라우터, 스위치, 서버와 같은 네트워크에 의존적인 시스템과 네트워킹 리소스 그 자체를 대상으로 합니다. 그리고 타겟 네트워크 시스템과 리소스들의 취약점을 악용하여 타겟의 네트워크 인프라 전체를 다운시키는 것을 목표로 합니다.
인프라 계층 공격은 특정 프로토콜이나 시스템 취약점을 이용하는 공격 트래픽을 대규모로 발생시킴으로써, 해당 프로토콜이나 시스템이 제대로 동작하지 못하게 합니다.
인프라 계층 공격에는 앞서 설명한 UDP, ICMP, SYN Flood DDoS 공격도 포함되며, 네트워크의 기본 구성 요소들을 표적으로 삼아 공격하기에 타겟 시스템의 피해 규모가 거대할 수 있습니다.
DDoS 방어를 위한 기술들
트래픽 모니터링과 분석
네트워크 트래픽을 지속적으로 모니터링하고 분석하면 DDoS 공격과 그 징후를 실시간으로 탐지하고 대응할 수 있습니다. Flow 분석, Anomaly detection, Baselining과 같은 기술은 비정상적인 트래픽 패턴과 잠재적인 DDoS 위협을 탐지하는 데 큰 도움을 줍니다.
네트워크 필터링과 Rate limiting
네트워크에서 Filter와 Rate limit 정책을 구현하면 정상적인 유저들의 트래픽은 통과시키면서 DDoS 공격 트래픽만을 차단하거나 제한하여 DDoS 공격을 방어할 수 있습니다.
예시 :
- 악성 IP 주소의 트래픽 차단
- 시스템으로 들어오는 요청의 비율 제한
- 북한, 이란, 수단, 중국 등 특정 지역의 트래픽을 제한하는 Geo-blocking
Application 계층에서의 방어
WAF와 같은 Application 계층에서의 보안 솔루션을 사용하면, 리버스 프록시를 통해 DDoS 트래픽을 필터링하고 Application 리소스를 보호할 수 있습니다.
DDoS 방어 솔루션 on Hybrid Cloud
온프레미스 DDoS 방어 하드웨어(A10, Radware)와 클라우드 기반의 DDoS 방어 서비스(Cloudflare)를 결합하면 대규모의 정교한 DDoS 공격에도 효과적으로 대응할 수 있습니다.
온프레미스 솔루션은 소규모의 타겟화된 DDoS 공격을 보호할 때,
클라우드 기반 서비스는 대규모의 대량 공격을 방어하는데 사용될 수 있습니다.
DDoS 이슈 대응 프로세스
보호해야 하는 중요 인프라와 시스템을 파악하고 우선순위를 부여하여 DDoS 공격으로부터 선제적으로 보호합니다. 그리고 책임과 역할, 커뮤니케이션 채널, 에스컬레이션 절차를 포함한 전체적인 DDoS 이슈 대응 프로세스를 수립하고 유지하는 것이 가장 우선이 되어야 합니다.
DDoS 방어의 4단계
1. 탐지
탐지 단계에서는 네트워크 트래픽을 지속적으로 모니터링하고 분석하여 잠재적인 DDoS 공격을 식별합니다. Flow 분석, Anomaly detection, Baselining 기법을 사용하여 트래픽 패턴을 관찰하면 DDoS 공격의 징후가 되는 비정상적인 트래픽 패턴들을 신속하게 탐지해낼 수 있습니다.
DDoS 공격 대응을 시작하는 시간이 빠르면 빠를수록 인프라에 미치는 영향을 최소화할 수 있기에,
DDoS 탐지 단계는 전체 방어 프로세스에 있어 가장 중요한 요소가 됩니다.
2. 대응
공격이 탐지된 후, 대응 단계에서는 DDoS 공격의 영향을 최소화하기 위해 아래와 같은 조치를 취합니다.
- 사전에 정의해둔 DDoS 트래픽 방어 정책 활성화
- 네트워크 Config 수정
- 네트워크와 애플리케이션 계층의 DDoS 방어 시스템 연계 운영
대응 단계에서도 탐지와 마찬가지로 신속한 대응이 중요합니다.
3. 필터링
필터링은 공격 트래픽과 정상 트래픽을 구분하고 분리하여 정상적인 유저들의 트래픽만 타겟 시스템에 접근할 수 있도록 하는 프로세스입니다.
필터링에 사용되는 기술에는 Rate limiting, IP 차단, 네트워크 Filtering 정책 구현이 있습니다. 필터링은 네트워크의 무결성을 유지하면서 DDoS 공격의 영향을 최소화하는 데 큰 도움이 됩니다.
4. 사후 분석
DDoS 공격을 방어한 후에는 공격의 출처와 특성, 그리고 기업 네트워크에 미친 영향을 파악하기 위해 사후 분석을 진행해야 합니다.
DDoS 공격 데이터를 수집하고 분석함으로써 DDoS 방어 전략에서 개선해야 할 부분을 파악하고 향후 유사 공격을 방지하기 위해 필요한 사전 예방책을 세울 수 있습니다.
이 단계를 건너뛰게 된다면, 기업은 DDoS 방어 역량을 개선하거나 최적화하지 못하여 결국 DDoS 공격자들의 기술 진화 속도를 따라가지 못하게 될 겁니다.
DDoS 방어 기술과 Best Practices
앞서 설명한 방법 이외에도 다양한 기술들을 사용하여 DDoS 방어 전략을 강화할 수 있습니다.
공격 벡터 & 취약점 최소화
인프라에서 공격에 노출될 수 있는 포인트들을 축소하면 잠재적인 공격들을 제한할 수 있습니다.
방화벽, ACL, Zero trust 정책을 사용하거나 CDN 또는 로드밸런서를 활용하면 공격 벡터와 취약점을 최소화할 수 있습니다.
네트워크 대역폭 관리
대규모의 DDoS 공격을 방어하려면 클라우드나 호스팅 데이터센터에서 이중화된 인터넷 회선과 충분한 네트워크 대역폭을 제공하는지 확인해야 합니다. 또한 유사 시 인프라 확장성을 높이기 위해 CDN과 DNS 라우팅 서비스를 도입할 수도 있습니다.
유연한 리소스 Scale-up
DDoS 공격에 대비하여 컴퓨팅 리소스를 다이나믹하게 확장하여 리소스 과부하를 방지할 수 있어야 합니다. 또한 로드밸런서를 사용하여 트래픽을 효과적으로 분산하거나 고급 네트워킹 기능을 갖춘 더 큰 컴퓨팅 리소스를 선택할 수도 있습니다.
네트워크 트래픽 패턴 모니터링
평시 유저들의 일반적인 트래픽 패턴을 명확히 파악하여 정상적인 트래픽과 DDoS 공격 트래픽을 구분할 수 있어야 합니다. 이후 서비스 다운타임 없이 시스템이 처리할 수 있는 만큼의 트래픽만 허용하도록 Rate limiting을 구현할 수 있습니다.
웹 애플리케이션 방화벽(WAF)
애플리케이션의 취약점을 악용하는 SQL 인젝션이나 Cross-site request forgery와 같은 정교한 애플리케이션 계층의 공격을 방어하기 위해 WAF를 사용할 수 있습니다.
악성 IP 주소와 GeoIP 등 관찰된 트래픽 패턴과 특성을 기반으로 방어 정책을 커스터마이징할 수 있습니다.
DNS 보안
DNS Spoofing으로부터 리소스를 보호하기 위해 DNSSEC을 사용하거나, DNS 서버 보안을 강화하는 등 DNS 인프라를 보호하여 DNS DDoS 공격으로부터 보다 안전해질 수 있습니다.
Threat Intelligence Feed 사용
글로벌 보안 그룹에서 제공하는 Threat Intelligence를 DDoS 방어 전략에 연계하면 새로운 위협, 공격 벡터와 악성 IP 주소에 대한 실시간 정보를 제공받을 수 있습니다. 이로써 DDoS 공격 트래픽을 선제적으로 차단하고 잠재적인 공격에 한발 앞서 대응할 수 있습니다.
네트워크 옵저버빌리티와 DDoS 방어
네트워크 옵저버빌리티는 기업이 DDoS 공격을 효과적으로 탐지, 분석, 대응할 수 있도록 하는 데 필수적으로 필요한 요소입니다.
네트워크 옵저빌리티 솔루션은 네트워크 트래픽을 통해 공격 패턴을 식별하고, 공격에 피해를 받고 있는 네트워크 리소스를 정확히 찾아내며, 공격이 전체 인프라에 미치는 영향을 파악합니다.
또한 네트워크 옵저버빌리티는 DDoS 공격 트래픽의 추이와 패턴을 파악하고, 조치된 방어 전략의 효과에 대한 즉각적인 가시성과 인사이트를 제공하며, 향후 방어 개선 사항을 알려줌으로써 기업의 DDoS 방어 전략 최적화에 기여합니다.
네트워크 옵저버빌리티 솔루션 kentik은 업계 최고의 DDoS 탐지 기능을 통해 Cloudflare, Radware, A10 등 DDoS 방어 하드웨어/서비스와 자동화된 연계 서비스까지 제공합니다.
관심 있으시면, 네트워크 옵저버빌리티가 어떻게 우수한 DDoS 탐지 기능을 제공하고 있는지 알아보세요.
아래 링크의 블로그, 그리고 글로벌 ISP, Superloop의 인터뷰에서 확인해보실 수 있습니다.
"8 reasons why network observability is critical for DDoS detection and mitigation"
"The NetOps guide to network security”
"Superloop Connects APAC to the World with Network Insights from Kentik"
마치며
읽어주셔서 감사합니다.
네트워킹 기술과 시장에 대한 소통, 언제나 환영합니다! 🙌
Coffee chat 신청하기
메모 남겨주시면 간단한 커피챗을 통해 저희 팀의 경험을 공유해드릴게요 😊
에어키는 네트워크 옵저버빌리티 플랫폼, kentik의 파트너로 활동하고 있습니다.
문의처 - 에어키 MSP팀 김상휘 프로 (shkim0730@airquay.com, +82-10-2914-9400)
이 글은 kentik의 kentipedia 문서의 번역/수정본이며 오역이 있을 수 있습니다. (출처)
