내 네트워크가 DDoS 공격을 받고 있는지 확인하는 방법: DDoS를 받고 있는지 알 수 있는 징후

EdgeOneDev-Dev Team
15 분 읽기
Mar 13, 2025
Detecting DDoS Attacks: A Guide to Cybersecurity Technologies



사이버 보안 위협이 지속적으로 진화하는 가운데, 분산 서비스 거부(DDoS) 공격은 개인과 조직 모두에게 여전히 강력한 도전 과제가 되고 있습니다. DDoS 공격의 목표는 네트워크를 과도한 요청으로 과부하 시켜 정당한 사용자에게 이용할 수 없도록 만드는 것입니다. 그 파괴적인 잠재력을 고려할 때, DDoS 공격의 징후를 조기에 인식하는 것이 중요합니다. 

여기서는 네트워크가 DDoS 공격을 받고 있는지 판단하는 데 도움이 되는 주요 지표를 먼저 나열합니다. 그런 다음 DDoS 공격의 유형에 대한 자세한 설명과 이를 식별하는 방법을 제공합니다.

DDoS 공격의 징후는 무엇인가요?

네트워크에서 다음과 같은 징후가 나타난다면 DDoS 공격을 받고 있을 가능성이 높습니다:

  • 비정상적으로 느린 네트워크 성능: DDoS 공격의 초기 징후 중 하나는 네트워크 성능이 크게 저하되는 것입니다. 웹사이트 접근, 이메일 전송 또는 인터넷 기반 애플리케이션 사용이 명확한 이유 없이 현저히 느려진다면 이는 네트워크가 트래픽으로 압도당하고 있다는 신호일 수 있습니다.
  • 특정 웹사이트 또는 서비스의 접근 불가: 특정 웹사이트나 온라인 서비스가 갑자기 사용할 수 없게 되는 것은 DDoS 공격의 전형적인 징후입니다. 가끔씩 다운타임이 유지보수나 서버 문제로 발생할 수 있지만, 정상적으로 작동하던 사이트나 서비스가 장기간 동안 접근할 수 없게 된다면 공격을 받고 있을 수 있습니다.
  • 인터넷 연결 끊김: 심각한 경우 DDoS 공격으로 인해 인터넷 서비스가 완전히 끊길 수 있습니다. 웹사이트나 온라인 서비스에 접속할 수 없고, 이 문제가 장비와 연결을 점검해도 지속된다면 네트워크가 DDoS 공격을 받고 있을 수 있습니다.
  • 설명할 수 없는 트래픽 급증: 들어오는 네트워크 트래픽을 표시하는 모니터링 도구에서 갑작스럽고 설명할 수 없는 급증이 나타날 수 있습니다. 이는 DDoS 공격의 명확한 징후입니다. 트래픽은 일반적으로 여러 출처에서 발생하며, 이는 분산 서비스 거부 공격의 특징입니다.

DDoS 공격의 유형은 무엇인가요?

1. 애플리케이션 레이어 공격

애플리케이션 레이어 공격(레이어 7 공격)은 서버의 자원을 소모시켜 정당한 사용자 요청에 응답하지 못하도록 하는 애플리케이션 레이어 프로토콜(예: HTTP, HTTPS, DNS 등)을 대상으로 합니다. 이 유형의 공격은 일반적으로 많은 수의 합법적이지만 악의적인 요청을 보내는 방식으로 이루어집니다.

  • HTTP 플러드: 웹 서버의 자원을 소모시키기 위해 많은 수의 HTTP 요청을 보냅니다.
  • 슬로우로리스: 많은 수의 HTTP 연결을 열어 서버의 연결 자원을 소모시킵니다.
  • DNS 쿼리 플러드: DNS 서버의 자원을 소모시키기 위해 많은 수의 DNS 쿼리 요청을 보냅니다.

2. 프로토콜 레이어 공격

프로토콜 레이어 공격(레이어 3/4 공격)은 네트워크 장치의 자원을 소모시켜 정당한 트래픽을 처리하지 못하게 하는 네트워크 프로토콜(예: TCP, UDP, ICMP 등)을 대상으로 합니다.

  • SYN 플러드: 서버의 연결 테이블을 소모시키기 위해 많은 수의 TCP SYN 요청을 보냅니다.
  • UDP 플러드: 네트워크 대역폭 및 서버 자원을 소모하기 위해 많은 수의 UDP 패킷을 보냅니다.
  • ICMP 플러드: 네트워크 대역폭 및 서버 자원을 소모하기 위해 많은 수의 ICMP 에코 요청(핑)을 보냅니다.

이러한 다양한 네트워크 수준의 공격의 궁극적인 목표는 서버나 네트워크 자원을 소모하여 정상적인 접근을 차단하고 정상 사용자들의 사용에 영향을 주는 것입니다.


 

Network Layers and Components: Application, Presentation, Session, Transport, Network, Data Link, Physical

3. 용량 소모 공격

서비스의 대역폭이 제한되어 있기 때문에, 볼륨 공격은 많은 수의 데이터 패킷을 보내 네트워크 대역폭을 소모시켜 정당한 트래픽이 통과하지 못하게 합니다.

  • DNS 증폭: 열린 DNS 해석기를 사용하여 작은 요청을 큰 응답으로 증폭시켜 대상의 대역폭을 소모합니다.
  • NTP 증폭: 열린 NTP 서버를 사용하여 작은 요청을 큰 응답으로 증폭시켜 대상의 대역폭을 소모합니다.
  • SSDP 증폭: 열린 SSDP 장치를 사용하여 작은 요청을 큰 응답으로 증폭시켜 대상의 대역폭을 소모합니다.

4. 자원 소모 공격

서버 자원이 제한적이기 때문에, 자원 소모 공격은 서버의 컴퓨팅 자원(예: CPU, 메모리, 디스크 I/O 등)을 소모시켜 정당한 요청을 처리할 수 없게 합니다.

  • HTTP GET/POST 플러드: 서버의 CPU 및 메모리 자원을 소모하기 위해 많은 수의 HTTP GET 또는 POST 요청을 보냅니다.
  • XML 폭탄: 서버가 구문 분석할 때 메모리를 소모하게 하는 특수 제작된 XML 데이터를 보냅니다.
  • 해시 충돌: 서버가 해시 테이블을 처리할 때 많은 수의 해시 충돌을 일으켜 CPU 자원을 소모하게 하는 특수 제작된 요청을 보냅니다.

5. 연결 소모 공격

서버의 동시 연결 수가 제한되어 있기 때문에, 연결 소모 공격은 서버의 연결 자원을 소모시켜 새로운 연결을 설정할 수 없게 하여 정상 고객의 사용에 영향을 줍니다.

  • 슬로우로리스: 많은 수의 HTTP 연결을 열어 서버의 연결 자원을 소모시킵니다.
  • TCP 연결 플러드: 서버의 연결 테이블을 소모하기 위해 많은 수의 TCP 연결 요청을 보냅니다.
  • SYN 플러드: 서버의 연결 테이블을 소모하기 위해 많은 수의 TCP SYN 요청을 보냅니다.
     

DDoS 공격을 어떻게 식별하나요?

다양한 공격 방법과 작동 원리를 아는 것은 DDoS 공격을 받고 있는지 여부를 쉽게 판단할 수 있게 해줍니다.

1. 애플리케이션 레이어 공격

  • 가장 직관적인 느낌은 웹사이트나 애플리케이션이 느리게 로드되거나 접근할 수 없다는 것입니다.
  • 서버 성능을 확인하면 CPU와 메모리 사용률이 급증한 것을 발견할 수 있습니다.
  • 웹 서버 로그와 애플리케이션 로그를 사용하여 많은 수의 HTTP 요청을 확인할 수 있으며, 그 중 대부분은 단일 인터페이스에 대한 반복된 접근입니다.
  • 트래픽 모니터링 도구(예: Wireshark, NetFlow)를 사용하여 트래픽 패턴을 분석하면 예상 이상의 비정상적인 트래픽이 발견됩니다. 이러한 트래픽 흐름은 종종 특정 시간에 정기적으로 나타납니다.

2. 프로토콜 레이어 공격

  • 직관적인 느낌은 웹 레이어가 공격받는 것과 유사하며, 두 경우 모두 네트워크 연결 지연이 증가합니다.
  • 서버 연결 테이블이 소모되어 새로운 연결을 설정할 수 없어 접근할 수 없게 됩니다.
  • 차이점은 레이어 3/4에서 많은 수의 요청이 발생하므로 비즈니스 측에서는 많은 수의 HTTP 요청을 받지 않으며, 애플리케이션 레이어 로그는 더 숨겨져 있는 경우가 많습니다.
  • 많은 수의 TCP SYN 요청, UDP 패킷 또는 ICMP 에코 요청이 있으므로, 네트워크 장치 로그와 방화벽 로그에서 이러한 요청을 확인할 수 있습니다.

3. 용량 소모 공격

  • 네트워크 대역폭이 소모되어 정당한 트래픽이 통과하지 못하게 됩니다. 비정상적인 대역폭 사용 요청은 그리드 대역폭 모니터링 도구를 통해 확인할 수 있습니다.
  • 많은 수의 증폭된 응답 패킷이 있으므로 트래픽 모니터링 도구를 통해 트래픽 패턴을 분석하여 증폭된 응답 패킷을 식별할 수 있습니다.
  • 이 과정은 네트워크 장치(예: 라우터 및 스위치)의 성능 저하와 함께 진행됩니다.

DDoS 공격에 어떻게 대응하나요?

DDoS 공격을 받고 있다고 의심된다면 즉각적인 조치가 필요합니다:

  1. ISP에 연락하세요: 인터넷 서비스 제공업체에 잠재적인 DDoS 공격에 대해 알립니다. 그들은 트래픽을 우회하거나 악성 트래픽을 차단하는 필터를 구현함으로써 도움을 줄 수 있습니다.
  2. DDoS 완화 도구 사용: DDoS 완화를 위해 설계된 서비스나 도구를 사용합니다. 이러한 도구는 트래픽의 과부하를 흡수하거나 방어하여 네트워크의 무결성을 보호합니다.
  3. 분석 및 적응: 공격 후 그 성격과 영향을 분석합니다. 이 정보를 사용하여 향후 사건에 대한 네트워크 방어를 강화합니다.

결론

공격의 효과를 높이기 위해 공격자는 일반적으로 이러한 다양한 공격 방법을 조합하여 동시에 공격을 감행하여 전방위적인 영향을 미칩니다. 이러한 영향은 종종 매우 뚜렷합니다. 주관적인 경험에서 비정상적인 트래픽, 접근 응답 캐시 또는 실패, 비정상적으로 높은 기계 부하 등을 통해 DDoS 공격이 발생했음을 판단할 수 있습니다.

DDoS 공격의 징후를 인식하는 것은 방어의 첫걸음입니다. 사이버 위협이 계속 진화함에 따라 정보를 유지하고 준비하는 것이 중요합니다. 이러한 공격의 지표를 이해하고 대응 방법을 아는 것으로 네트워크를 중대한 피해로부터 보호하고 향후 위협에 대한 회복력을 보장할 수 있습니다.

Tencent EdgeOne는 웹사이트와 서비스의 가용성 및 보안을 유지하는 데 필수적인 강력한 DDoS 보호를 제공합니다. 여기 몇 가지 주요 장점이 있습니다:

  • 포괄적인 보호: EdgeOne은 다양한 유형의 공격에 대한 광범위한 DDoS 보호를 제공하여 귀하의 서비스가 온라인 상태를 유지하고 영향을 받지 않도록 보장합니다.
  • 실시간 경고: 플랫폼은 관리자에게 진행 중인 공격을 알리는 실시간 경고 기능을 제공하여 빠른 대응 및 완화를 가능하게 합니다.
  • 상세한 공격 로그: 공격 시도의 상세 로그가 콘솔 내에서 제공되어 투명성을 제공하고 향후 예방 전략에 도움을 줍니다.
  • 글로벌 범위: 전 세계에 위치한 엣지 서버를 통해 EdgeOne은 트래픽을 효율적으로 우회하고 관리할 수 있도록 보장하여 전 세계 사용자에게 원활한 서비스를 제공합니다.

이러한 기능들은 복잡한 DDoS 위협으로부터 보호할 수 있는 회복력 있는 보안 인프라에 기여합니다. DDoS 공격을 받고 있는 경우, 즉시 문의해 주세요 추가 지원을 받기 위해.