인터넷 사용자와 네트워크 관리자가 경계해야 할 사이버 위협은 수없이 많지만, 서비스가 주로 온라인에서 운영되는 조직의 경우 점점 더 만연해지고 있는 가장 중요한 공격 중 하나는 분산 서비스 거부(DDoS) 공격입니다. 하지만 서비스 거부 공격이란 무엇이고, 어떻게 작동하며, 이를 방지할 수 있는 방법은 있을까요?
분산 서비스 거부: 정의
생체 정보의 의미는 무엇인가요? 때때로 분산형 네트워크 공격이라고도 불리는 이 유형의 사이버 공격은 회사 웹사이트를 구축하는 인프라 등 모든 네트워크 리소스에 적용되는 특정 용량 제한을 악용합니다. DDoS 공격은 공격을 받는 웹 리소스에 여러 개의 요청을 전송합니다. 그 목적은 여러 요청을 처리할 수 있는 웹사이트의 용량을 초과하여 웹사이트가 제대로 작동하지 못하게 하는 것입니다. DDoS 공격의 대표적인 대상에는 전자상거래 사이트와 온라인 서비스를 제공하는 모든 조직이 포함됩니다.
어떻게 작동하나요?
DDoS 공격을 이해하는 데 있어 중요한 부분은 이러한 공격이 어떻게 작동하는지 아는 것입니다. 웹 서버와 같은 네트워크 리소스는 동시에 처리할 수 있는 요청 수에 한정된 제한이 있습니다. 서버의 용량 제한 외에도 서버를 인터넷에 연결하는 채널도 유한한 대역폭이나 용량을 갖게 됩니다. 요청 수가 인프라 구성 요소의 용량 한도를 초과할 때마다 서비스 수준이 저하될 가능성이 높습니다.
일반적으로 DDoS 공격에서 공격자의 목표는 웹 리소스 서버를 마비시켜 정상적인 기능을 방해하고 서비스 거부를 초래하는 것입니다. 공격자는 공격을 중단시키는 대가로 돈을 요구할 수도 있습니다. 어떤 경우에는 DDoS 공격이 경쟁사의 사업을 훼손하거나 손상시키려는 시도일 수도 있습니다.
공격을 실행하기 위해 공격자는 악성 소프트웨어를 감염시켜 네트워크나 장치를 제어하고 봇넷을 생성합니다. 그런 다음 봇에게 특정 지침을 보내 공격을 시작합니다. 그러면 봇넷은 해당 IP 주소를 통해 대상 서버에 요청을 발행하기 시작하여 대상 서버에 과부하를 일으키고 일반 트래픽에 서비스 거부를 유발합니다.
DDoS 공격 사례: 공격에는 어떤 유형이 있나요?
DDoS의 의미와 공격 작동 방식을 아는 것은 이를 예방하기 위한 한 단계이지만, DDoS 공격에는 여러 유형이 있다는 것을 이해하는 것도 중요합니다. 이는 먼저 네트워크 연결이 어떻게 형성되는지 개략적으로 설명하는 데 달려 있습니다.
국제 표준화 기구(ISO)에서 개발한 OSI(Open Systems Interconnection) 모델은 인터넷 네트워크 연결을 구성하는 7개의 계층을 정의합니다. 여기에는 물리 계층, 데이터 링크 계층, 네트워크 계층, 전송 계층, 세션 계층, 표현 계층, 응용 계층이 포함됩니다.
많은 DDoS 공격 사례는 타겟으로 삼는 연결 계층에 따라 다릅니다. 가장 흔한 예는 다음과 같습니다.
애플리케이션 계층 공격
때때로 7계층 공격(OSI 모델의 7 번째 (애플리케이션) 계층을 타겟으로 하기 때문에)이라고 불리는 이러한 공격은 DDoS 웹사이트를 이용해 타겟 서버의 리소스를 고갈시킵니다. 7 번째 계층은 서버가 HTTP 요청에 응답하여 웹 페이지를 생성하는 곳입니다. 공격자는 수많은 HTTP 요청을 실행하여 대상 서버가 수많은 파일을 로드하고 웹 페이지를 만드는 데 필요한 데이터베이스 쿼리를 실행함으로써 서버에 과부하를 유발합니다.
HTTP 플러드
이러한 DDoS 공격은 많은 컴퓨터에서 웹 브라우저를 여러 번 새로 고치는 것으로 생각하면 됩니다. 이로 인해 HTTP 요청이 '홍수'되어 서비스 거부가 발생합니다. 이러한 공격은 하나의 URL과 좁은 범위의 IP 주소를 사용해 간단하게 구현할 수도 있고, 여러 개의 IP 주소와 무작위 URL을 사용해 복잡하게 구현할 수도 있습니다.
프로토콜 공격
종종 상태 소진 공격이라고 불리는 이러한 DDoS 공격은 OSI 모델의 3 계층 과 4 계층(네트워크 계층과 전송 계층)의 취약점을 악용합니다. 이러한 공격은 방화벽 과 같은 서버 리소스나 네트워크 장비 리소스를 과부하시켜 서비스 거부를 발생시킵니다. SYN 플러드를 포함한 여러 유형의 프로토콜 공격이 있습니다. 이러한 공격은 두 사람이 네트워크 연결을 설정할 수 있도록 하는 TCP(전송 제어 프로토콜) 핸드셰이크를 악용하며, 가짜 IP 주소에서 관리할 수 없는 수의 TCP "초기 연결 요청"을 보냅니다.
체적 공격
이러한 DDoS 공격의 예는 대상 서버에서 사용 가능한 모든 대역폭을 사용하여 엄청난 양의 데이터를 전송하여 서버 트래픽을 급증시키는 서비스 거부 공격을 생성합니다.
DNS 증폭
이는 스푸핑된 IP 주소 (대상 서버의 IP 주소)에서 DNS 서버로 요청을 보내 DNS 서버가 대상을 다시 "호출"하여 요청을 검증하는 반사 기반 공격입니다. 이러한 활동은 봇넷을 사용하여 증폭되어 대상 서버의 리소스를 빠르게 압도합니다.
DDoS 공격 식별
DDoS 공격은 기존 서비스 문제를 모방하고 점점 더 정교해지기 때문에 식별하기 어려울 수 있습니다. 그러나 시스템이나 네트워크가 DDoS 공격을 받았음을 시사하는 몇 가지 징후가 있습니다. 이러한 요소는 다음과 같습니다.
- 알 수 없는 IP 주소에서 발생하는 트래픽이 갑자기 급증했습니다.
- 지리적 위치나 웹 브라우저 버전과 같은 특정 유사점을 공유하는 수많은 사용자로부터 발생하는 트래픽 홍수
- 단일 페이지에 대한 요청이 설명할 수 없을 정도로 증가했습니다.
- 비정상적인 교통 패턴
- 네트워크 성능이 느림
- 아무 이유 없이 갑자기 오프라인이 되는 서비스나 웹사이트
DDoS 공격 예방 및 완화
DDoS 공격은 감지하기 어려울 수 있지만, 이러한 유형의 사이버 공격을 예방하고 공격이 발생할 경우 피해를 완화하기 위해 여러 가지 조치를 구현할 수 있습니다. DDoS 공격을 방지하는 방법을 궁금해하는 사용자의 경우, 가장 중요한 것은 공격 발생 시 시스템을 보호하고 피해를 완화하기 위한 대응 계획을 수립하는 것입니다. 일반적으로 기업을 위해 Kaspersky DDoS 보호 와 같은 솔루션을 구현하는 것이 유익합니다. 이 솔루션은 악성 트래픽을 지속적으로 분석하고 리디렉션합니다. 또한, 다음의 일반적인 조언은 방어력을 더욱 강화하는 데 도움이 될 수 있습니다.
- 소프트웨어, 장치, 서버, 네트워크 등 현재 시스템 설정을 평가하여 보안 위험과 잠재적 위협을 파악한 다음, 이를 줄이기 위한 조치를 구현하고 정기적인 위험 평가를 실시합니다.
- 모든 소프트웨어와 기술을 최신 상태로 유지하여 최신 보안 패치가 실행되도록 하세요.
- DDoS 공격 예방, 탐지 및 완화를 위한 실행 가능한 전략을 개발합니다.
- 공격 예방 계획에 참여하는 모든 사람이 DDoS 공격의 의미와 할당된 역할을 이해하고 있는지 확인하세요.
공격이 발생한 경우 다음과 같은 조치를 통해 어느 정도 완화할 수 있습니다.
- 애니캐스트 네트워크: 애니캐스트 네트워크를 사용하여 트래픽을 재분산하면 문제가 해결되는 동안 서버의 가용성을 유지하는 데 도움이 되며 서버를 완전히 종료할 필요가 없습니다.
- 블랙홀 라우팅: 이 시나리오에서 ISP의 네트워크 관리자는 대상 서버에서 모든 트래픽을 블랙홀 경로(대상 IP 주소)로 다시 라우팅하여 네트워크에서 삭제하고 무결성을 유지합니다. 하지만 이는 합법적인 트래픽을 차단하기 때문에 극단적인 조치가 될 수 있습니다.
- 속도 제한: 이는 서버가 한 번에 허용할 수 있는 요청 수를 제한합니다. 그 자체로는 큰 효과가 없겠지만, 더 큰 전략의 일부로 활용하면 유용할 수 있습니다.
- 방화벽: 조직에서는 WAF(웹 애플리케이션 방화벽)를 역방향 프록시로 사용하여 서버를 보호할 수 있습니다. WAF에는 트래픽을 필터링하는 규칙을 설정할 수 있으며, 관리자는 DDoS 공격이 의심되는 경우 실시간으로 이를 수정할 수 있습니다.
연관 문서 및 링크:
연관 제품 및 서비스:
