디도스 방어는 악의적인 대량 트래픽 발생으로 서버 자원을 소모해 서비스가 불가능하도록 하는 공격으로부터 방어하는 기술입니다. 디도스 방어 기법에는 크게 공격 대상을 줄이고 서버의 용량을 늘리는 한편 비정상 트래픽을 분석하는 기법을 사용합니다. 본문에서는 디도스 방어의 원리 및 대처방법 그리고 디도스 방어 솔루션에 대해 알아보겠습니다.
디도스방어 원리
DDos 공격의 유형 및 특징에 대한 글에서 살펴본 바와 같이, DDoS 공격은 동시다발적 서비스 동시 요청을 하며, 정상적인 트래픽과 악의적인 트래픽의 구분이 어렵기 때문에 모든소스를 차단하는 것이 까다로운 특징이 있습니다.
디도스방어를 위해 위와 같은 전용 Anti-DDoS 장비를 사용해 이상 트래픽을 사전에 감지하는 방법이 있습니다. 이와 같은 DDoS 방어 솔루션이 모니터링하는 대상은 다음과 같습니다.
| 모니터링 대상 | 설명 |
| IP 프로토콜 분포 | 평소와 다른 공격징후 및 유형을 파악하기 위해 IP계층 프로토콜을 모니터링 (BPS, FPS, PPS 등의 수치) |
| 서비스별 사용량 | 애플리케이션 서비스 레벨에서 평소와 다르게 급증하는 사용량을 체크 |
| 네트워크 현황 | 프로토콜 서비스별 네트워크 사용현황, 프레임 사이즈 등에 대한 상세 모니터링 |
| 응답지연시간 측정 | 웹, DB 서버응답속도 변화량 체크 |
| 패킷 분석 | IPS, IDS 룰에 따른 패킷탐지 및 차단실시 |
Anti-DDoS 솔루션 기능
디도스공격 계층
디도스 공격은 크게 네트워크 계층에 해당하는 TCP/IP 프로토콜에 해당하는 공격이 주를 이룹니다. 그리고 상위 애플리케이션 계층에 대한 공격도 있지만 네트워크 계층 공격에 비해 비중은 적지만 보다 정교한 특징이 있습니다.
| 네트워크 계층 | 애플리케이션 계층 |
| SYN Flooding과 같은 광범위하고 일반적인 공격의 형태로 감지하기가 쉬운 특징 | 특정 애플리케이션을 집중공격하는 것으로 로그인 페이지와 같이 특정 대상을 타겟 공격하는 특징 |
안티 디도스 솔루션의 주요 기능은 네트워크 및 애플리케이션 계층에 대한 평소와 다른 특이사항의 모니터링입니다. 가령, 이상 트래픽이 감지될 경우 해당 IP나 포트에 대한 트래픽을 집중적으로 감시하거나 속도의 저하 또는 최악의 경우 차단할 수도 있습니다. 국내 Anti-DDoS 대표 솔루션으로 안랩의 TrusGuard가 있으며 자세한 특징은 다음과 같습니다.
- 다양한 대용량 네트워크 공격차단 (UDP, ICMP, IGMP, IP, DNS, SSL Flooding)
- 애플리케이션 계층 공격 차단
- Fragmentation 공격차단
디도스 대처방법
1. 공격 대상의 분산
첫째로 공격의 대상을 분산시키는 방법을 사용합니다. 가령 아래 그림과 같이 원래 서버 주위에 Cash Server에 해당하는 CDN 네트워크나 로드밸런서를 배치하여 보호할 서버의 트래픽을 중간에서 완화시킬 수있습니다. 또한 방화벽에서 별도의 패킷 필터링 및 접근제어를 통해 서버에 직접적인 트래픽을 낮출 수도 있습니다.
2. 서버 용량의 증설
디도스로 의심되는 트래픽이 있더라도 이를 위해 정상 사용자의 트래픽까지 완벽하게 차단할 수는 없습니다. 따라서 CDN 서버나 스마트 DNS 등을 이용해서 사용자에게 서비스가 정상적으로 이뤄질 수 있도록 추가적인 네트워크 인프라를 추가할 수 있습니다.
3. 트래픽 분석
앞서 설명해 드린 디도스 방어 솔루션을 사용하는 것으로 평소와 다른 트래픽이 발생하는 것을 실시간으로 분석하여 제어 또는 차단하는 기술입니다. 이를 위해 차세대 방화벽이나 UTM 보안 솔루션을 추가로 사용하여 악의적인 트래픽을 필터링 할 수 있습니다.
4. DNS 우회
특정 서비스에 대해 공격이 감지되었을 경우 DDoS 공격트래픽을 서버로 직접 향하지 않고 DDoS 방어 솔루션이 있는 루트로 우회시키는 방법입니다. 이를 통해 실시간으로 이상 트래픽 감지 시 서버의 위치와 상관없이 빠르게 대응이 가능합니다.
다만, 해당 DNS 우회 서비스를 제공받기 위해서는 다음과 같은 인터넷 서비스 제공업체의 솔루션을 사용해야 합니다.
이상으로 디도스 방어원리 및 대처 방법에 대해서 알아보았습니다. 이외의 다양한 네트워크 보안 솔루션에 대해서는 이전 글을 참고바랍니다.