방화벽이 대중화되면서 새로운 형태의 공격이 나타났는데 이 공격의 목적은 정상적인 서비스가 불가능하도록 방해하는데 초점이 맞추어져 있다. 이를 DoS(Denial of Service) 공격이라 한다.
여기서 더 발전해 다수의 공격자를 만들어 동시에 DoS 공격을 하는 분산형 DoS인 DDoS 공격방식이 등장해 이를 방어하기 위해 DDoS 전용 장비가 만들어졌다.
DDoS 방어 장비의 정의
초기 DDoS 공격은 시스템이나 네트워크 장비의 취약점이 타깃이였지만 점점 인프라 기반 서비스 제공 영역까지 확대되었을뿐더러 다양한 방식의 DDoS 공격까지 나오며 대응하기 어려웠다.
이를 대응하기 위해 다양한 DDoS 공격을 방어하기 위한 전문적인 장비의 필요성이 대두됬고 이때 DDoS 방어 장비가 등장했다.
DDoS 방어 장비는 볼류메트릭 공격을 방어하기 위한 트래픽 프로파일링 기법을 주로 사용하며 인터넷의 다양한 공격 정보를 수집한 데이터베이스를 활용하기도 한다.
DDoS 방어 장비 동작 방식
DDoS 공격을 탐지해 공격을 수행하는 IP 리스트를 넘겨주면 방어 장비나 ISP 내부에서 이 IP를 버리는 것이 흔한 DDoS 방어 기법이다.
DDoS 방어 기법에는 2 가지가 존재하는데 탐지 및 방어를 하나의 장비로 하는 인라인과 탐지 및 방어를 다른 장비에서 하는 아웃 오브 패스가 있다.
DDoS 방어 장비의 주요 차단 방법은 프로파일링 기법이다. 평소 데이터 흐름을 습득해 대역폭, 세션량 등을 저장하여 이렇게 습득한 데이터와 일치하지 않는 과도한 트래픽이 들어오면 알려주고 차단한다.
또 다른 방법은 보안 데이터베이스 기반으로 방어하는 것이다. IP 평판 데이터베이스를 공유해 DDoS 공격으로 사용된 IP 기반으로 방어 여부를 결정하거나 특정 공격 패턴을 방어하는 방법이 있다.
DDoS 공격 타입
DDoS 공격 타입에는 아래와 같이 3 가지가 존재한다.
| 볼류메트릭 공격 | 프로토콜 공격 | 애플리케이션 공격 | |
| 정의 | 대용량의 트래픽을 사용해 공격 대상의 대역폭을 포화시키는 공격, 간단한 증폭기술을 사용해 생성하기 쉬움 | 3, 4 계층 프로토콜 스택의 취약점을 악용해 대상을 액세스할 수 있게 만드는 공격 | 7계층 프로토콜 스택의 약점을 약용하는 공격, 가장 정교한 공격 및 식별, 완화에 까다로운 공격 |
| 방식 | 공격에 의해 생성된 트래픽 양은 최종 자원(웹 사이트 또는 서비스) 에 대한 액세스를 완전히 차단할 수 있음. 쓸모없는 패킷이 회선을 모두 차지해 정상적인 서비스 트래픽이 통과할 수 없음. |
공격 대상이나 중간 위험 리소스의 처리 용량을 모두 사용해 서비스 중단을 유발함. 일반적인 네트워크 장비나 네트워크 보안 장비를 대상으로 하는 경우가 많음. 공격 대상 장비의 CPU, 메모리 자원을 고갈시켜 정상적인 서비스가 불가능하게 함. |
대상과의 연결을 설정한 후 프로세스와 트랜잭션을 독점해 서버 자원을 소모시킴. 애플리케이션 포로토콜 자체의 취약점이나 서비스를 제공하는 플랫폼의 취약점을 악용하는 경우가 많음 |
| 예제 | NTP 증폭, DNS 증폭, UDP 플러드(UDP Flood), TCP 플러드 | Syn 플러드, Ping of Death | HTTP 플러드, DNS 서비스 공격, Slowloris 등 |
볼류메트릭 공격
회선 사용량이나 그 이상의 트래픽을 과도하게 발생시켜 회선을 사용하지 못하도록 방해하는 공격이므로 회선을 공급해주는 ISP 내부나 사용자 네트워크 최상단에 위치시켜 이 공격을 완화해야한다.
보통 혼자 방어할 수 없으므로 회선을 공급하는 ISP와 공조해 방어한다.
좀비 PC를 이용한 볼류메트릭 공격
해당 공격은 특정 시간에 특정 타깃을 공격하는 형태이므로 미리 악성 코드에 감염되어 해커가 컨트롤할 수 있는 좀비 PC를 많이 확보해둬야한다.
좀비 PC를 미리 충분히 확보못하거나 더 강력한 DDoS 공격을 하기 위해 증폭 공격(Amplification Attack)을 사용한다. 이는 엄청나게 높은 대역폭의 공격이다.
증폭 공격이란 공격자가 적은 대역폭으로 중간 리플렉터에 패킷을 보내면 이 트래픽이 증폭되어 타깃 서버에 수십~수백 배의 공격 트래픽을 발생하는 공격법이다.
이러한 공격을 방어하기 위해 ISP을 통한 방어나 Cloud DDoS 솔루션을 통해 서비스 네트워크로 트래픽이 도달하지 못하도록 조치한다.
클라우드 기반 서비스는 DDoS, WAF과 같은 별도의 보안 장비가 없어도 다양한 DDoS 공격을 방어할 수 있다. 이 서비스의 최대 장점은 실제 서비스 네트워크가 가려지므로 네트워크 차원이나 대규모 볼류메트릭 공격도 큰 투자없이 방어할 수 있다.
'CS > 네트워크' 카테고리의 다른 글
| 네트워크 확인 관련 명령어 정리 (0) | 2022.08.23 |
|---|---|
| VPN(Virtual Private Network) (0) | 2022.08.14 |
| IPS, IDS 에 대해 (0) | 2022.08.13 |
| 방화벽이란 (0) | 2022.08.13 |
| 보안과 보안 솔루션 (0) | 2022.08.12 |
