토픽 113 / 147·네트워크 응용 및 고급 프로토콜
DDoS 방어 (Distributed Denial of Service Defense)
DDoS 방어 (Distributed Denial of Service Defense)
다수의 분산된 시스템(봇넷)에서 대량의 트래픽이나 요청을 발생시켜 서비스를 마비시키는 DDoS 공격을 탐지·완화·차단하는 보안 기술과 전략으로, 네트워크/전송/응용 계층별 방어 기법 필요
목적: 서비스 가용성 보장, 악성 트래픽 차단, 정상 사용자 보호, 인프라 보호
특징: 다계층 방어, 대용량 트래픽 처리, 실시간 탐지, 자동 완화, 글로벌 분산
DDoS 공격 유형
- •볼륨 공격(L3/L4): UDP Flood, ICMP Flood, DNS Amplification, NTP Amplification, 대역폭 소진
- •프로토콜 공격(L3/L4): SYN Flood, ACK Flood, Smurf Attack, 연결 자원 소진
- •응용 계층 공격(L7): HTTP Flood, Slowloris, API 남용, 서버 자원 소진
방어 기법
- •트래픽 스크러빙: 악성 트래픽 분리·제거, 정상 트래픽만 전달, 스크러빙 센터
- •Rate Limiting: 요청 속도 제한, IP/세션별 임계치, 버스트 제어
- •Anycast 분산: 글로벌 PoP로 트래픽 분산, 공격 흡수, CDN 활용
- •블랙홀 라우팅(RTBH): 공격 대상 IP 트래픽 폐기, 최후 수단, 서비스 중단
- •SYN Cookie: SYN Flood 방어, 상태 저장 없이 연결 검증
- •Challenge-Response: CAPTCHA, JavaScript Challenge, Bot 탐지
- •WAF (Web Application Firewall): L7 공격 차단, 시그니처, 행위 분석
탐지 기법
- •트래픽 이상 탐지: 기준선 대비 급증, 통계적 분석
- •패턴 매칭: 알려진 공격 시그니처
- •행위 분석: 비정상 요청 패턴, Bot 행위
- •머신러닝: 이상 탐지, 제로데이 공격
장점: 서비스 가용성 유지, 자동 완화, 글로벌 방어, 다계층 보호
단점: 비용(대용량 인프라), 오탐(정상 사용자 차단), 복잡한 설정, 제로데이 공격 어려움
적용사례: Cloudflare, AWS Shield, Akamai Prolexic, Azure DDoS Protection, 금융/게임/미디어
기술요소: 스크러빙, Anycast, Rate Limiting, WAF, SYN Cookie, RTBH, BGP Flowspec
비교: 온프레미스(지연 낮음/용량 제한) vs 클라우드(대용량/지연) vs 하이브리드
연관: 방화벽, WAF, CDN, Anycast, 봇넷, Rate Limiting, BGP