누구나 표적이 될 수 있는 디도스 DDos 공격
현재 기업의 입장에서 DDoS 공격에 노출되는 것은 빈번하고 흔한 일상이 되었습니다. DDoS 공격은 ‘해킹’하면 쉽게 떠오르는 ‘랜섬웨어’나 ‘악성코드’ 등 과는 그 결이 다르다고 할 수 있는데요. 랜섬웨어나 악성코드와 같은 공격이 사내의 PC나 서버를 내부적으로 망가뜨리고 정보를 빼내기 위함이라면, DDoS 공격의 경우 서버가 제공하는 서비스 자체를 불능으로 만드는데에 그 목적이 있기 때문입니다. DDoS 공격을 무방비상태로 받게되면 고객에게 정상적으로 제공되어야 하는 서비스가 한 순간에 불가능해질 수 있기 때문에 기업의 입장에서도 피해가 크다고 할 수 있겠습니다. 고객은 물건을 구매하기 위해 기업의 사이트에 접속하려고 하지만 접속이 불가능한 현상이 발생할 수 있는거죠. 🧐
DDoS 공격은 어떻게 이루어지나?
DDoS 공격의 기본 메커니즘은 ‘지속적인 서비스 요청’입니다. 유명한 가수의 콘서트를 예매하거나 한정판 상품을 구매하려고 하는데 웹 페이지 접속이 안되는 현상을 겪어보셨나요?😲 이런 현상은 웹에 대한 연결 요청이 너무 많아 서버가 감당할 수 있는 양을 상당히 초과하는 경우 발생하는데요, DDoS 공격은 바로 이 점을 이용한 공격 형태입니다. 공격자는 자신의 PC 혹은 감염시킨 좀비 PC들을 이용하여 대상 서버에 대해 지속적으로 방대한 양의 서비스 요청을 생성합니다. 대용량의 서비스 요청을 받은 서버는 공격자에 대한 응답으로 자신이 가지고 있는 자원을 모두 소모하게 되고 더 이상 정상적인 서비스를 제공할 수 있는 상태에 빠지게 됩니다. 이 때, 공격자가 한 대의 PC로 공격하는 것을 DoS(Denial of Service, 서비스거부공격)라고 부르고, 사전에 미리 감염시켜 놓은 여러 대의 좀비 PC를 이용하여 공격하는 것을 DDoS(Distributed Denial of Service, 분산서비스거부공격)라고 부릅니다. 또한, 최근에는 DDoS 공격을 감행한 후 이를 멈추는 대가로 금전적 보상을 요구하는 ‘Ransom DDoS’ 공격도 떠오르고 있습니다.
디도스 DDos 공격의 유형
DDoS 공격은 (1)대역폭 공격, (2)자원 소진 공격, (3) Application 부하 공격 등 크게 3가지 유형으로 나누어 집니다. 대역폭 공격의 경우, 흔히 ‘Ping’으로 알려진 ICMP 패킷이나 서버의 상태나 응답을 요구하지 않는 UDP 트래픽 등을 지속적으로 전송해서 서버가 감당 가능한 트래픽 대역폭을 마비시키는 유형을 말합니다. 자원 소진 공격의 경우에는 ‘TCP 3 Way Handshake’에서 사용하는 SYN 등의 Flag를 지속적으로 전송하여 서버의 리소스를 모두 소진시키는 유형입니다. 이 유형은 상대적으로 적은 트래픽만으로도 서버를 불능 상태로 만들 수 있는데, Web/DB 부하 공격의 경우 3 Way Handshake 단계까지 정상적으로 완료하여 서버와 세션을 맺은 후에 과도한 HTTP 요청, GET 등의 메소드를 생성하여 서버의 과부하를 일으키는 유형을 말합니다. 이처럼 DDoS 공격에 대한 방어는 단순히 하나의 네트워크 계층에 있는 장비의 대응으로는 부족하며, 전체 계층을 아우르는 종합적인 방어 태세가 필요합니다. 🤔
출처 : F5 공식 홈페이지 발췌
디도스 공격에 대한 훌륭한 방어솔루션 F5 DDos DHD
F5 DDoS Hybird Defender(이하 DHD)는 DDoS 공격에 대한 훌륭한 방어 솔루션입니다. 그 이유는 F5 DHD가 위에서 설명드린 것 처럼 DDoS 방어에 필수적인 3,4,7 계층을 모두 커버할 수 있는 종합적인 ADC(Application Delivery Controll) 장비이기 때문입니다. F5 DHD를 활용하면 네트워크 계층과 전송계층의 Flooding 공격에 대한 방어와 Application 계층의 동적 분석, 시그니처 분석, 트랜잭션 임계치 기준 방어를 활용하여 효과적인 DDoS 공격에 대한 대응이 가능합니다. F5 DHD에서 DoS Protection은 크게 Network, DNS, SIP, HTTP 등 4가지 항목을 기준으로 DoS공격에 대한 방어를 제공하고 있습니다. Network, DNS, SIP Properties에 대해서는 아래와 같은 항목에 대한 방어가 가능합니다. Network
DNS
SIP
이 Properties에서 DoS 공격은 모두 임계치 기준으로 방어를 하고 있어요. 초당 패킷 수 혹은 패킷 수의 증가율 등을 기준으로 합니다. 수동으로 기준이 되는 임계치를 설정할 수도 있고, F5가 자동으로 임계치를 설정하도록 할 수도 있습니다. 특정 임계치를 초과하는 Source Client에 대해서는 Bad Actor로 등록할 수도 있구요, 또한 임계치를 초과하는 공격이 들어오는 특정 목적지에 대해서는 Category에 추가하여 Mitigate Action을 사용자화 할 수 있는 기능도 있습니다. 😎 HTTP
HTTP Property에서는 더 동적인 분석과 방어가 가능해요. F5의 자체 시그니처를 통해 Client의 요청에 대한 동적 분석이 가능하고, 많은 양의 트래픽이 유입되어도 서버의 리소스 사용률을 기반으로 하여 동적으로 대응할 수 있는 기능도 있습니다. 예를 들면, 똑같은 양의 트래픽이 들어와도 F5 DHD 장비가 지금 힘든 상태라면 트래픽을 차단하고 힘들지 않은 상태라면 일단 트래픽이 유입되도록 설정할 수 있다는 거죠.✌🏻 위의 Properties와 마찬가지로 임계치를 기반으로 한 방어도 당연히 가능합니다. 다온기술에서는 F5 자체 자격증을 취득한 전문 엔지니어들이 F5 DHD가 항상 제 몫을 잘 해낼 수 있도록 책임감을 가지고 지원하고 있으며, 다양한 구축 경험과 열정을 가지고 항상 고객의 성공을 돕는 다온기술의 전문 엔지니어들이 24/7 밤낮으로 대기하고 있습니다.
