DDoS 공격 및 완화 방법 이해를 위한 빠른 가이드

게시 됨: 2016-04-25

기업이 인터넷 존재에 크게 의존하기 때문에 모든 형태의 공격으로부터 적절한 DDoS 보호를 확보하는 것이 매우 중요합니다. DDoS(분산 서비스 거부) 침입은 점점 더 많은 수의 쉽게 액세스할 수 있는 도구를 사용하여 수행할 수 있는 가장 간단한 형태의 가상 공격이지만 가장 큰 위협이 될 수도 있습니다. DDoS 공격은 간단한 웹 서비스로도 수행할 수 있지만 가장 안정적인 서버도 다운시킬 수 있습니다. 요청으로 서비스를 압도하도록 설계된 이러한 공격은 공개 액세스를 차단하고 잠재적인 운영 또는 판매를 중단합니다.

특히 규모가 작은 많은 기업은 이러한 유형의 공격에 대한 독립적인 보호를 구축하거나 DDoS 보안 서버를 확보할 수 없습니다. 그러나 공격의 위협이 증가함에 따라 외부 도움의 가용성도 증가합니다. 연간 전 세계 인프라 보안 보고서에서 Arbor Networks는 DDoS 탐지 및 보호에 대한 고객의 요구 사항이 전년도의 4%에 불과했던 것에 비해 최대 74% 증가한 것으로 나타났습니다.

DDoS 공격은 정확히 무엇이며 무자비한 침략의 희생자가 되지 않도록 비즈니스를 보호하는 방법은 무엇입니까?

디도스 공격 수법

이론상 단순해 보이지만 DDoS 공격은 다양한 방법으로 서버를 플러딩하여 침입의 출처와 방법을 파악하기 어렵게 만들 수 있습니다.

  • 볼류메트릭 공격 – 모든 대역폭을 사용하는 것은 서비스를 종료하는 쉬운 방법입니다. 동시에 엄청난 수의 요청을 보내면 가장 안정적인 웹 서버도 다운될 수 있습니다. 일반적으로 단일 해커가 제어하는 ​​전 세계의 수천 대의 맬웨어 감염 컴퓨터 모음인 "봇넷"을 통해 수행됩니다. 이러한 모든 시스템이 하나의 단일 웹사이트에 액세스하도록 지정되면 엄청난 양의 트래픽이 서버에 과부하를 일으켜 충돌을 일으키고 페이지를 다운시킵니다.
  • 응용 프로그램 계층 공격 – 인터넷을 구성하는 7개의 수직 계층이 있으며, 각 계층은 정보를 보내기 위해 서로 다른 프로토콜을 사용합니다. 이것은 개방형 시스템 상호 연결 모델로 알려져 있으며 네트워크 작동 방식을 나타냅니다. 이 모델의 마지막 및 일곱 번째 계층은 응용 프로그램 계층으로 알려져 있습니다. 일곱 번째 계층은 가장 친숙한 계층으로 기본적인 웹 브라우징 및 이메일 서비스에서 HTTP 및 SMTP 통신을 처리합니다. 애플리케이션 계층에 대한 DDoS 공격은 이 수준에서 모든 리소스를 압도하고 소비하기 위해 악의적인 활동을 실제 인간 행동으로 마스킹합니다. 실제 활동을 모방하려고 시도하기 때문에 이러한 공격을 식별하기가 훨씬 더 어렵습니다.
  • 프로토콜 공격 – 프로토콜 공격은 순전히 숫자를 통해 서비스를 종료하는 대신 가짜 IP 주소에서 핑 요청을 보내 리소스를 막는 데 중점을 둡니다. 이러한 공격은 이러한 잘못된 주소로 서버에 요청을 보내고 서버가 응답을 시도할 때 응답을 기다리며 끝없이 기다리거나 불필요하게 큰 요청으로 반환됩니다. 이는 다른 요청 및 서비스를 실행하고 완료하는 데 리소스를 방해합니다.

DDoS 방어가 필요한 이유는 무엇입니까?

Arbor Networks는 보안 보고서에서 DDoS 공격이 전년 대비 크게 증가한 것으로 확인했습니다. 2015년에는 서비스 제공업체의 44%가 매월 21건 이상의 공격을 감지했으며 이는 이전 38%에서 증가한 수치입니다. 지속적인 연결 및 즉각적인 액세스에 대한 요구로 인해 DDoS 공격이 항상 웹사이트를 다운시키는 경우 고객이 서비스를 중단할 수 있습니다. VOIP 업계에서만 공급자에 대한 DDoS 공격의 수가 2014년 전체 공격의 9%에서 2015년 19%로 증가했다고 보고서는 결론지었습니다.

연구에 따르면 DDoS 공격의 가장 큰 동기는 "공격 능력을 입증하는 범죄자"인 것으로 보이며 "게임"과 "범죄적 갈취 시도"가 그 뒤를 이었습니다. 맞습니다 – 범죄적 갈취입니다. 해커가 서비스에 대한 보다 강력한 중단 위협이 포함된 랜섬 이메일에 이어 위협으로 작은 경고 DDoS 공격을 보내는 것은 드문 일이 아닙니다.

서비스 스트림을 방해할 수 있을 뿐만 아니라 Arbor Networks는 DDoS 공격이 맬웨어 감염, 정보 도용 또는 사기와 같은 다른 악의적인 활동을 은폐하려는 시도인 스모크스크린으로 더 자주 사용된다는 점에 주목했습니다.

DDoS 완화 작동 방식

DDoS 공격의 특성상 발생하는 즉시 처리하기가 매우 어렵습니다. 최선의 방어선은 들어오는 데이터를 적극적으로 분석하고 거짓 또는 악의적인 요청을 완화하는 조치를 사전에 채택 및 설정하는 것입니다. 그러나 최상의 DDoS 보호를 선택하는 것은 공격만큼 압도적일 수 있으며 이러한 보호에 포함된 기능뿐만 아니라 해당 방법 및 지원 네트워크에 주목하는 것이 중요합니다. 하나의 서비스가 최고의 기능과 방법을 제공할 수 있지만, 엄청난 양을 처리할 수 있는 적절한 지원 네트워크가 없으면 보호가 실패합니다.

- 공격을 받고 있습니까?

먼저 서비스가 실제로 DDoS 공격의 피해자인지 확인하는 것이 중요합니다. 보호 기능은 좋은 트래픽(고객)과 나쁜 트래픽(공격)을 구별할 수 있어야 합니다. 완화 서비스가 단순히 트래픽을 감지하고 들어오는 모든 요청을 차단하면 합법적인 사용자가 웹 페이지나 서비스에 액세스할 수 없는 것과 동일한 문제가 발생합니다. 이것이 Bot Discernment 및 Deep Packet Inspection 서비스가 들어오는 곳이며 이러한 방법은 좋은 트래픽과 나쁜 트래픽을 구별하기 위해 개발되었습니다.

- 불량 트래픽 리디렉션

일단 인식되면 잘못된 트래픽을 적절히 완화하고 서버에서 다른 곳으로 다시 라우팅해야 합니다. 여기에서 보호 네트워크의 강도와 수준이 결정됩니다. 모든 잘못된 핑은 사용자에게서 제거되고 완화 인프라를 통해 보호 서비스 자체로 필터링됩니다. 해당 불량 트래픽은 보호 서비스의 보안 운영 센터를 통해 필터링됩니다. 네트워크가 너무 약하고 센터가 너무 적으면 보호 서비스가 유입되는 요청에 대처할 수 없습니다. 이것은 본질적으로 공격으로부터 실질적인 보호를 무효화합니다. 따라서 보호 제공자를 고려할 때 이러한 보안 작업 또는 스크러빙 센터의 수와 위치를 비교하는 것이 중요합니다.

- 당신의 보호를 활용

대부분의 보호 서비스는 비즈니스 요구 사항에 맞게 사용자 지정할 수 있으므로 DDoS 보호를 설정하고 유지 관리하는 방법은 크게 다를 수 있습니다. 중요도에 따라 보호 기능은 항상 실행되거나 항상 켜져 있거나 특정 시간에 간헐적으로 실행되거나 토글되어 켜짐/꺼짐으로 전환될 수 있습니다. 다양한 배포 방법은 또한 클라우드 기반, 온사이트 하드웨어 또는 둘 다를 활용하는 하이브리드 모델로 서비스를 운영하려는 방식에 따라 다릅니다. 적절한 배포 방법을 선택하는 것은 비즈니스 규모, 보호의 긴급성, IT 기능에 따라 달라집니다. 현장 하드웨어는 추가 현장 지원이 필요할 수 있으며 소규모 IT 팀이 처리하기에는 너무 많을 수 있습니다. 한편 대부분의 클라우드 서비스는 공급자가 완전히 유지 관리하며 공격이 감지되면 보호를 전환하는 대신 공격이 발생하면 경고합니다.

상위 6개 DDoS 완화 솔루션 비교

DDoS 공격이 무엇이며 어떻게 완화할 수 있는지에 대한 확실한 이해를 바탕으로 시장에 나와 있는 다양한 솔루션을 면밀히 분석하여 그 효과를 판단하는 것이 중요합니다. 이전에 논의한 바와 같이 보호는 적절한 보호 방법을 사용하는 것뿐만 아니라 모든 공격을 적절하게 완화하기 위해 적절한 네트워크 지원이 있어야 하는 것이 중요합니다. 단순한 기능을 넘어, 보호할 수 있는 보안 운영 센터의 수와 네트워크 용량을 확인하는 것이 중요합니다.

보안 센터가 너무 적거나 네트워크 용량이 너무 적으면 트래픽을 보낼 곳이 없기 때문에 최고의 완화 도구가 공격을 제대로 방지하지 못할 것입니다. 이것을 이해하는 쉬운 방법은 다리를 건너는 요금소와 관련시키는 것입니다. 차를 정차하지 않고 통행료를 내지 않아도 되는 빠른 진입점은 빠른 통과가 가능하지만, 진입점 수가 2~3개로 제한될 경우 러시아워가 되면 차량의 유입이 제한된 입장으로 유입된다. 포인트들. 더 많은 진입점을 허용하는 적절한 인프라가 없으면 시스템이 압도되고 더 빠른 지불 시스템의 이점이 무효화됩니다.

DDoS 공격은 시뮬레이션하기 어렵고 각 개별 보호 서비스를 테스트하는 것은 완전히 실현 가능하지 않습니다. 각 제공업체의 제품을 분류하기 위해 우리는 개별 웹 페이지에서 정보를 얻었을 뿐만 아니라 독립적인 연구 및 제공업체와의 연락을 취했습니다. 아래에서 가장 눈에 띄는 서비스와 이에 상응하는 기능을 요약한 차트를 찾을 수 있습니다.

아버-120클라우드플레어-120도스-120인캡슐라-120지제넷
보안운영센터 수 4 42 4 27 5
네트워크 용량(초당 TB로 측정) 1 해당 없음 1 1.5 0.5 1.7
방화벽 아니 아니 아니
자동 봇 식별
심층 패킷 검사 해당 없음
DNS 리디렉션
웹 프록시 아니
실시간 모니터링
IP 차단
항상 켜짐
클라우드 기반 보호
하이브리드 보호 아니 아니
현장 모니터링 아니 아니 아니 아니
연중무휴 고객 서비스
이메일 지원
전화 지원
라이브 웹 채팅 아니 아니 아니
더 많은 정보 자세한 내용은 자세한 내용은 자세한 내용은 자세한 내용은 자세한 내용은 자세한 내용은