DDoS 공격이란 무엇입니까?
분산 서비스 거부 공격(Distributed Denial-of-Service Attack, DDoS Attack)은 네트워크 또는 웹 서버와 같은 리소스를 대상으로 하는 사이버 위협의 한 유형으로, 과도한 양의 요청으로 리소스를 오프라인 상태로 만드는 것을 목표로 합니다. 트래픽이 서버 용량을 초과하면 합법적인 사용자의 합법적인 요청에 응답할 수 없으므로 '서비스 거부'가 발생합니다.
DDoS 공격은 네트워크에서 함께 작동하는 여러 시스템을 포함하여 용량을 초과하는 많은 양의 트래픽으로 서버를 플러딩합니다. 은행, 뉴스 웹사이트, 경우에 따라 발전소와 같이 사람들이 필수 서비스에 의존하는 대기업의 악의적인 행위자가 종종 저지르는 경우가 있습니다. 최종 목표는 시스템 중단 및 중단 시간 동안의 절도 및 갈취, 피싱 및 랜섬웨어와 같은 추가 공격 실행, 평판 손상 또는 단순히 무정부 상태를 유발하는 것과 다를 수 있습니다.
DDoS 공격의 작동 방식
DDoS 공격은 가해자의 명령에 따라 함께 작동하는 기계 네트워크를 사용하여 시작됩니다. 이러한 손상된 장치는 봇넷, 악성 트래픽의 홍수를 대상 리소스로 보내는 작업을 수행합니다.
기계에는 랩톱, 모바일 장치, PC, 서버 또는 사물 인터넷(IoT) 장치가 포함될 수 있으며 거리에 따라 분산될 수 있습니다. 봇넷에서 원격으로 제어되는 그러한 장치가 수천 또는 수백만 개 있을 수 있습니다. 장치 자체는 보안 취약성을 이용하고 장치 소유자 모르게 맬웨어를 주입하여 공격자에 의해 손상되었을 수 있습니다.
가장 크고 유명한 DDoS 공격 중 하나는 2016 딘 어택 이로 인해 미국의 인터넷 서비스 대부분이 중단되었고 Twitter, Guardian 및 Netflix와 같은 사이트가 마비되었습니다. 이 공격은 카메라, TV, 프린터, 심지어 베이비 모니터를 포함한 IoT 장치의 봇넷을 사용하는 Mirai로 알려진 맬웨어를 사용했습니다.
DDoS 공격을 시작하는 프로세스는 다음과 같습니다. 첫째, 사이버 공격자는 장치를 맬웨어로 감염시킨 후 장치를 제어합니다. 이러한 봇넷이 생성되면 공격을 수행하기 위해 각 봇에 원격으로 특정 지침이 전송됩니다. 대상이 네트워크 또는 웹 서버인 경우 각 봇은 서버의 IP 주소로 요청을 보냅니다.
각 봇은 인터넷에서 합법적인 장치이기 때문에 봇의 트래픽은 정상적으로 보이며 따라서 서버에 대한 합법적인 트래픽과 구분하기 어렵습니다.
DDoS 공격이 위험한 이유는 무엇입니까?
DDoS 공격이 위험한 주요 이유 중 하나는 단순성 때문입니다. DDoS 공격을 만들고 실행하는 데 매우 정교한 기술이 필요하지 않습니다. 해커는 대상 서버에 코드를 설치할 필요가 없습니다. 컴퓨터를 손상시키고 동시에 대상 웹 서버에 수백만 개의 핑을 보내도록 제어할 수 있기만 하면 됩니다. 실제로 2016년 Dyn 공격에 사용된 Mirai 봇넷은 오픈 소스였습니다. 즉, 모든 사이버 범죄자가 미래에 동일한 기능으로 공격을 시작하는 데 사용할 수 있습니다.
DDoS 공격은 들어오는 인터넷 트래픽이 분산되기 때문에 방어하기 까다롭습니다. 봇넷의 손상된 "좀비" 시스템은 다른 소스 IP 주소를 가집니다. 의심스러운 IP 주소의 요청을 차단하기 위해 필터를 추가하는 것도 하나의 대책이지만 이러한 IP 주소가 수백만 개일 경우 이러한 요청이 많이 발생하면 지속 불가능한 방어 전략이 됩니다.
설상가상으로 DDoS 공격의 잠재적인 공격 벡터는 나날이 증가하고 있습니다. 더 많은 장치가 일상 소비자의 손에 들어가고 IoT 시장이 더 많은 유형의 장치를 포괄하도록 확장됨에 따라 잠재적인 DDoS 공격을 방어하는 것이 더욱 어려워지고 있습니다. 이러한 장치는 표준 컴퓨터 또는 서버에 비해 고급 보안 소프트웨어가 없을 수 있으므로 해킹 및 손상에 취약한 상태로 유지되어 봇넷의 일부를 형성합니다.
다양한 유형의 DDoS 공격
단순함에도 불구하고 DDoS 공격은 사용하는 방법에 따라 다양하게 나타날 수 있습니다. 다음은 일반적인 DDoS 공격 유형입니다.
네트워킹 계층 또는 프로토콜 공격
네트워크 인프라를 대상으로 하는 DDoS 공격입니다. 예를 들어 느린 핑, 잘못된 형식의 핑 및 부분 패킷을 전송하여 네트워크 연결 요청을 확인하는 네트워크 영역을 공격할 수 있습니다. 웹 애플리케이션 방화벽(WAF) 따라서 이러한 유형의 DDoS 위협은 방화벽만으로는 막을 수 없습니다.
또한 방화벽이 네트워크 깊숙이 배치될 수 있으므로 트래픽이 방화벽에 도달하기 전에 라우터가 손상될 수 있습니다. 일반적인 유형의 네트워크 계층 공격에는 Smurf DDoS 및 SYN 플러드 공격이 포함됩니다. 이 공격은 TCP/IP 연결 요청을 완료하지 않고 시작하고 서버가 도착하지 않는 승인(ACK) 패킷을 기다리게 합니다. 네트워킹 계층 또는 프로토콜 공격의 심각도는 초당 패킷 수로 측정됩니다. 이는 실제 비트가 아닌 전송되는 정보 패킷 수에 따라 달라지기 때문입니다.
애플리케이션 계층 공격
이러한 유형의 DDoS 공격은 기본 인프라보다 직접적으로 앱에 장애를 일으키기 위한 것입니다. 이들은 OSI(Open Systems Interconnection Model)의 최상위 계층 또는 L7 계층을 공격하며 HTTP, HTTPS, DNS 또는 SMTP를 통해 시작할 수 있습니다. 공격은 서버에서 웹 페이지가 생성되고 HTTP 요청에 대한 응답으로 전달되는 계층을 대상으로 합니다. 애플리케이션 계층 공격의 몇 가지 예로는 HTTP 플러드, Low and Slow 및 BGP 하이재킹이 있습니다. 심각도는 해커가 봇넷 트래픽을 사용하여 앱 서비스에 대한 액세스를 얼마나 자주 또는 지속적으로 요청하는지에 따라 달라지므로 초당 요청 수로 측정됩니다.
볼륨 기반 트래픽
볼륨 기반 DDoS 공격에서 이 방법은 네트워크 대역폭을 넘어 전송되는 엄청난 양의 트래픽에 의존합니다. User Datagram Protocol 또는 UDP 플러드와 ICMP(Internet Control Message Protocol) 플러드는 볼륨 공격의 두 가지 일반적인 형태입니다. UDP 플러드 공격에서 공격자는 UDP 형식을 사용하여 무결성 검사를 건너뛰고 증폭 및 반사 공격을 생성합니다.
예를 들어, DNS 증폭 공격은 공격자가 공개 요청을 하는 볼류메트릭 DDoS 공격의 한 유형입니다. DNS 서버 (피해자의) IP 스푸핑 주소로 트래픽 증폭 공격으로 대상 서버를 압도합니다. ICMP 플러드는 공격자가 네트워크 노드에 잘못된 오류 요청을 보내 실제 요청에 응답할 수 없도록 합니다. 여기에서 공격자의 목표는 손상된 장치에서 짧은 시간에 가능한 한 많은 요청을 보내는 것입니다.
DDoS 공격의 또 다른 분류는 의도된 결과와 관련이 있습니다. 일부는 범람을 위한 것이고 다른 일부는 충돌을 위한 것입니다.
범람하는 DDoS 공격
이러한 공격은 압도적인 데이터 홍수를 사용하여 서버를 중단시키려는 의도로 서버를 대상으로 하는 공격입니다. 예를 들어 ICMP 플러드 또는 핑 플러드는 데이터 패킷을 전송하여 컴퓨터 네트워크를 압도하여 함께 다운시킵니다. 네트워킹 계층 공격에서 위에서 설명한 SYN 플러드도 유사한 기반으로 작동하는 것입니다.
충돌 DDoS 공격
이러한 유형의 DDoS 공격에서 공격자는 시스템 인프라의 약점을 이용하기 위해 손상된 시스템에 버그를 보냅니다. 이것은 라우터와 방화벽에 패치가 없을 때 악용될 수 있는 결함을 드러내고 시스템 충돌로 이어집니다.
DDoS 공격으로부터 보호하기 위해 DDoS 공격을 식별하는 방법
앞에서 언급했듯이 DDoS 공격은 원격 제어 봇넷의 일부일 수 있더라도 합법적인 장치의 트래픽을 포함하기 때문에 탐지하기 어려울 수 있습니다. 이로 인해 이러한 봇넷 트래픽을 합법적인 요청과 구별하기가 어렵습니다. 그러나 식별 및 식별을 시도할 때 주의할 수 있는 몇 가지 증상이 있습니다. DDoS 공격으로부터 비즈니스 보호.
갑작스러운 사이트 문제 조사 시작
DDoS 공격의 가장 직접적인 징후는 사이트나 서비스가 갑자기 예기치 않게 느리게 실행되거나 완전히 사용할 수 없게 되는 것입니다. 그러나 트래픽이 많은 경우 합법적인 요청이라도 성능 문제를 일으킬 수 있으므로 DDoS 공격을 보장하지는 않습니다. 단일 IP 주소와 같은 단일 소스 또는 IP 주소 범위 내에서 오는 이 공격 트래픽의 비합리적인 양이 있는지 자세히 살펴보십시오. 또는 동일한 유형의 장치, 위치 또는 브라우저 유형에서 플러드가 발생하거나 공격 트래픽의 모든 급증이 특정 웹 페이지와 같은 단일 엔드포인트로 향할 수 있습니다. 비정상적인 시간 또는 몇 분 간격과 같이 의심스러울 정도로 자주 발생하는 스파이크와 같은 기타 패턴은 추가 조사가 필요하다는 신호일 수 있습니다.
비정상적인 기술적 문제를 찾으십시오.
특정 가용성 문제는 처음에는 악의적이지 않은 것처럼 보일 수 있지만 들어오는 DDoS 공격의 징후일 수 있습니다. 예를 들어 비정상적으로 느린 네트워크 성능과 같은 유지 관리 중 네트워크 보안과 관련된 특정 기술 문제가 있습니다. 파일 열기, 웹사이트 액세스에 문제가 있거나 특정 웹사이트가 다운된 경우 DDoS 공격의 결과인지 확인하기 위해 더 자세히 조사할 가치가 있습니다.
네트워크 보안 및 트래픽 모니터링 도구 채택
DoS 공격을 감지하고 식별하는 가장 좋은 방법은 네트워크 트래픽 모니터링 및 분석을 이용하는 것입니다. 네트워크 트래픽은 방화벽, 로드 밸런서 또는 침입 탐지 시스템을 통해 모니터링할 수 있습니다. 관리자는 비정상적인 트래픽 로드 감지 시 경고를 생성하고 DDoS 트래픽의 소스를 식별하거나 특정 기준을 충족하는 네트워크 패킷을 삭제하는 규칙을 설정할 수도 있습니다.
비즈니스를 위한 DDoS 완화
디도스 보호 오늘날 비즈니스를 위한 사이버 보안의 필수 구성 요소가 되었습니다.
DDoS 공격은 표적 네트워크 리소스를 압도하기 위해 다수의 봇 또는 손상된 장치의 강도에 의존하는 공격자를 포함합니다. 사용되는 방법의 단순성에도 불구하고 DDoS 공격은 서버 다운타임, 고객에 대한 서비스 중단 및 기타 보다 광범위한 공격을 시작하는 경로를 포함하여 비즈니스에 큰 피해를 줄 수 있습니다.
DDoS 보호 전략을 효과적으로 구현하려면 단순히 증상을 식별하고 공격에 실시간으로 대응하는 것만으로는 충분하지 않습니다. DDoS 위협이 감지될 때쯤에는 피해의 일부 또는 대부분이 이미 발생했을 수 있으며 피해 범위를 최소화하기 위해 시간을 쪼개야 할 수도 있습니다. 그렇기 때문에 적극적이고 적극적으로 탐색하는 것이 중요합니다. DDoS 완화 비즈니스를 위한 클라우드 서비스.
DNS를 포함한 전문 서비스와 CDNetworks와 같은 서비스 제공업체는 다음과 같은 네트워크 모니터링 도구 및 기술을 사용하여 네트워크와 시스템을 보호할 수 있도록 도와줍니다. 콘텐츠 전송 네트워크 필요에 따라 악의적인 공격 트래픽을 라우팅합니다.
