DDoS 방어

DDoS 방어

방화벽 기술이 발전하고 SPI엔진이 개발 된 이후 네트워크 공격이 힘들어지자 해커들은 기존의 관리자 권한 탈취를 위한 공격보다는 정상적인 서비스가 불가능하도록 만드는 공격에 치중하게 되었습니다. 이러한 방식은 DoS(Denial of Service)공격이라고 하는데 이러한 DoS공격은 해커 혼자 단독으로 진행하기 힘들기 때문에 다수의 공격자를 만들어서 공격하는 분산형 DoS공격인 DDoS공격으로 발전하게 되었고 이러한 DDoS 공격을 방어하는 전문 장비가 개발되게 되었습니다. 이러한 DDoS공격 방어 전문 장비는 볼류메트릭 공격 방어를 위해 트래픽 프로파일링 기법을 사용하고 인터넷의 다양한 공격 정보를 수집한 데이터베이스를 활용하기도 합니다.

DDoS 공격 방식은 크게 볼류메트릭 공격, 프로토콜 공격, 어플리케이션 공격이 있습니다. 볼류 메트릭 공격은 가장 일반적인 DDoS공격으로 대용량의 트래픽을 사용해 공격 대상의 대역폭을 포화시키는 방법으로 가장 쉬운 공격 방법중 하나입니다. 이런 볼류 메트릭 공격이 일어날 경우 쓸모 없는 패킷이 회선을 모두 차지해 정상적인 서비스가 불가능해집니다. 볼류 메트릭 공격은 수많은 좀비 PC를 동원하여 공격을 수행하기도 하고 엄청나게 높은 대역폭으로 공격을 수행하는 증폭 공격등이 있습니다. 이러한 볼류 메트릭 공격을 방어하기 위해 DDoS 방어 장비와 IPS 그리고 Cloud DDoS 솔루션을 통해 서비스 네트워크로 트래픽이 도달하지 못하게 조치해야합니다. 클라우드 기반의 DDoS 방어 서비스도 있는데 이러한 서비스의 장점은 문제가 없는 클라이언트의 요청만 서버쪽으로 전달하기 때문에 큰 투자없이 방어가 가능하다는 점입니다.

프로토콜 공격은 L3,L4계층에서 프로토콜 스택의 취약점을 이용해 대상을 엑세스 할 수 있게 만드는 공격입니다. 일반적으로 네트워크 장비, 보안장비를 대상으로 공격이 수행되고 공격 대상 또는 중간 방화벽들의 리소스를 소비하게해 서비스 중단을 야기합니다.

어플리케이션 공격은 L7의 프로토콜 스택의 약점을 공격해 대상과의 연결을 설정해 프로세스와 트랜잭션을 독점하여 서버 자원을 소모시켜 서비스를 마비시킵니다. 어플리케이션 프로토콜 또는 서비스 플랫폼 자체의 취약점을 악용하는 공격방식입니다.

이러한 DDoS 방어 장비는 탐지 장비와 방어 장비로 나뉘는데 탐지 장비가 공격을 수행하는 IP리스트를 넘겨주어 방어장비 또는 ISP에서 해당 IP주소를 버리는 방식으로 DDoS방어가 수행됩니다.

출처: IT엔지니어를 위한 네트워크 입벽