내 네트워크가 DDoS 공격을 받고 있는지 확인하는 방법: DDoS 공격의 징후

EdgeOneDev-Dev Team
15 분 읽기
Mar 25, 2025
detecting ddos attacks



사이버 보안 위협의 끊임없이 진화하는 환경에서, 분산 서비스 거부(DDoS) 공격은 개인과 조직 모두에게 강력한 도전 과제가 됩니다. DDoS 공격은 네트워크를 과도한 요청으로 압도하여 합법적인 사용자에게 사용할 수 없게 만드는 것을 목표로 합니다. 그 파괴적 잠재력을 감안할 때, DDoS 공격의 징후를 조기에 인식하는 것이 중요합니다. 

여기에서는 네트워크가 DDoS 공격을 받고 있는지를 판단하는 데 도움이 되는 주요 지표를 나열한 후, DDoS 공격의 유형과 이를 식별하는 방법에 대한 자세한 설명을 제공합니다.

DDoS 공격의 징후는 무엇인가요?

네트워크가 다음과 같은 징후를 보인다면, DDoS 공격을 받고 있을 가능성이 큽니다:

  • 비정상적으로 느린 네트워크 성능: DDoS 공격의 초기 징후 중 하나는 네트워크 성능의 현저한 저하입니다. 웹사이트에 접속하거나 이메일을 보내거나 인터넷 기반 응용 프로그램을 사용할 때 명확한 이유 없이 현저히 느려진다면, 이는 네트워크가 트래픽에 의해 압도되고 있음을 나타낼 수 있습니다.
  • 특정 웹사이트나 서비스의 접근 불가: 특정 웹사이트나 온라인 서비스가 갑자기 사용 불가능해지는 것은 DDoS 공격의 전형적인 징후입니다. 정기적인 점검이나 서버 문제로 인해 가끔 다운타임이 발생할 수 있지만, 정상적으로 작동하던 사이트나 서비스가 장기간 접근 불가능해지면 공격을 받고 있을 수 있습니다.
  • 인터넷 연결 끊김: 심각한 경우, DDoS 공격은 인터넷 서비스의 완전한 차단을 초래할 수 있습니다. 어떤 웹사이트나 온라인 서비스에도 연결할 수 없는 상태가 지속되고, 장비 및 연결을 점검했음에도 문제가 지속된다면, 네트워크가 DDoS 공격을 받고 있을 수 있습니다.
  • 설명할 수 없는 트래픽 급증: 수신 네트워크 트래픽을 표시하는 모니터링 도구는 갑작스럽고 설명할 수 없는 트래픽 급증을 보여줄 수 있습니다. 이는 종종 DDoS 시도의 명백한 징후입니다. 이 트래픽은 일반적으로 여러 출처에서 발생하며, 이는 분산 서비스 거부 공격의 특징입니다.

DDoS 공격의 유형은 무엇인가요?

1. 애플리케이션 계층 공격

애플리케이션 계층 공격(7계층 공격)은 HTTP, HTTPS, DNS 등 애플리케이션 계층 프로토콜을 대상으로 하여 서버의 리소스를 소모시켜 합법적인 사용자 요청에 응답하지 못하게 만드는 공격입니다. 이러한 유형의 공격은 일반적으로 악의적인 요청을 통해 많은 수의 합법적인 요청을 보내는 방식으로 이루어집니다.

  • HTTP 플러드: 웹 서버의 리소스를 소모시키기 위해 대량의 HTTP 요청을 전송합니다.
  • 슬로우리: 많은 수의 HTTP 연결을 열어 서버의 연결 리소스를 소모시킵니다.
  • DNS 쿼리 플러드: DNS 서버의 리소스를 소모시키기 위해 많은 수의 DNS 쿼리 요청을 전송합니다.

2. 프로토콜 계층 공격

프로토콜 계층 공격(3/4 계층 공격)은 TCP, UDP, ICMP와 같은 네트워크 프로토콜을 대상으로 하여 네트워크 장치의 리소스를 소모시켜 합법적인 트래픽을 처리하지 못하게 만드는 공격입니다.

  • SYN 플러드: 서버의 연결 테이블을 소모하기 위해 많은 수의 TCP SYN 요청을 전송합니다.
  • UDP 플러드: 네트워크 대역폭과 서버 리소스를 소모하기 위해 많은 수의 UDP 패킷을 전송합니다.
  • ICMP 플러드: 네트워크 대역폭과 서버 리소스를 소모하기 위해 많은 수의 ICMP 에코 요청(핑)을 전송합니다.

이러한 다양한 네트워크 수준에서의 공격의 궁극적인 목표는 서버 또는 네트워크 리소스를 소모시켜 정상적인 접근을 차단하고 정상 사용자들의 사용에 영향을 미치는 것입니다.


 

7 layers of osi model

3. 용량 소모 공격

서비스의 대역폭이 제한되어 있기 때문에, 볼륨 공격은 많은 수의 데이터 패킷을 전송하여 네트워크 대역폭을 소모시켜 합법적인 트래픽이 통과할 수 없도록 합니다.

  • DNS 증폭: 열린 DNS 해석기를 이용하여 작은 요청을 큰 응답으로 증폭시켜 대상의 대역폭을 소모합니다.
  • NTP 증폭: 열린 NTP 서버를 이용하여 작은 요청을 큰 응답으로 증폭시켜 대상의 대역폭을 소모합니다.
  • SSDP 증폭: 열린 SSDP 장치를 이용하여 작은 요청을 큰 응답으로 증폭시켜 대상의 대역폭을 소모합니다.

4. 리소스 소모 공격

서버 리소스가 제한되어 있기 때문에, 리소스 소모 공격은 서버의 컴퓨팅 리소스(CPU, 메모리, 디스크 I/O 등)를 소모시켜 합법적인 요청을 처리하지 못하게 만듭니다.

  • HTTP GET/POST 플러드: 서버의 CPU와 메모리 리소스를 소모하기 위해 많은 수의 HTTP GET 또는 POST 요청을 전송합니다.
  • XML 폭탄: 서버가 구문 분석할 때 메모리를 소모하게 하는 특별히 제작된 XML 데이터를 전송합니다.
  • 해시 충돌: 서버가 해시 테이블을 처리할 때 많은 수의 해시 충돌을 유발하도록 특별히 제작된 요청을 전송하여 CPU 리소스를 소모합니다.

5. 연결 소모 공격

서버의 동시 연결 수가 제한되어 있기 때문에, 연결 소모 공격은 서버의 연결 리소스를 소모시켜 새로운 연결을 설정하지 못하게 하여 정상 고객의 사용에 영향을 미칩니다.

  • 슬로우리: 많은 수의 HTTP 연결을 열어 서버의 연결 리소스를 소모시킵니다.
  • TCP 연결 플러드: 서버의 연결 테이블을 소모하기 위해 많은 수의 TCP 연결 요청을 전송합니다.
  • SYN 플러드: 서버의 연결 테이블을 소모하기 위해 많은 수의 TCP SYN 요청을 전송합니다.
     

DDoS 공격을 어떻게 식별하나요?

다양한 공격 방법과 작동 원리를 아는 것은 DDoS 공격을 받고 있는지 여부를 쉽게 판단할 수 있게 합니다.

1. 애플리케이션 계층 공격

  • 가장 직관적인 느낌은 웹사이트나 애플리케이션이 느리게 로드되거나 접근할 수 없다는 것입니다.
  • 서버 성능을 확인하면 CPU와 메모리 사용률이 급증한 것을 발견할 수 있습니다.
  • 웹 서버 로그와 애플리케이션 로그를 사용하여 많은 수의 HTTP 요청, 대부분이 단일 인터페이스에 대한 반복 액세스를 확인할 수 있습니다.
  • 트래픽 모니터링 도구(예: Wireshark, NetFlow)를 사용하여 트래픽 패턴을 분석하면 예상보다 많은 비정상적인 트래픽이 발견됩니다. 이러한 트래픽 흐름은 종종 하루 중 고정된 시간에 발생합니다.

2. 프로토콜 계층 공격

  • 직관적인 느낌은 공격받는 웹 계층과 유사하여 모두 네트워크 연결 지연이 증가합니다.
  • 서버 연결 테이블이 소모되어 새로운 연결을 설정할 수 없으며, 이로 인해 접근이 불가능해집니다.
  • 차이점은 3/4 계층에서 대량의 요청만 있을 뿐이므로, 비즈니스 측에서는 많은 수의 HTTP 요청을 받지 않으며, 애플리케이션 계층 로그는 종종 더 숨겨져 있습니다.
  • 대량의 TCP SYN 요청, UDP 패킷 또는 ICMP Echo 요청이 있으며, 이러한 요청은 네트워크 장치 로그 및 방화벽 로그에서 확인할 수 있습니다.

3. 용량 소모 공격

  • 네트워크 대역폭이 소모되어 합법적인 트래픽이 통과할 수 없습니다. 그리드 대역폭 모니터링 도구를 통해 비정상적인 대역폭 사용 요청을 확인할 수 있습니다.
  • 대량의 증폭된 응답 패킷이 있어 트래픽 모니터링 도구를 통해 응답 패킷을 분석할 수 있습니다.
  • 이 과정은 네트워크 장치(예: 라우터 및 스위치)의 성능 저하를 동반합니다.

DDoS 공격에 어떻게 대응하나요?

DDoS 공격을 받고 있다고 의심되는 경우 즉각적인 조치가 필요합니다:

  1. ISP에 연락하기: 가능한 DDoS 공격에 대해 인터넷 서비스 제공업체에 알립니다. 그들은 트래픽을 우회하거나 악성 트래픽을 차단하기 위한 필터를 구현하는 데 도움을 줄 수 있습니다.
  2. DDoS 완화 도구 사용하기: DDoS 완화를 위해 설계된 서비스나 도구를 사용합니다. 이러한 도구는 트래픽의 과부하를 흡수하거나 분산시켜 네트워크의 무결성을 보호합니다.
  3. 분석 및 적응하기: 공격 후에는 공격의 성격과 영향을 분석합니다. 이 정보를 사용하여 향후 사건에 대한 네트워크 방어를 강화합니다.

결론

공격 효과를 높이기 위해 공격자는 종종 이러한 다양한 공격 방법을 결합하여 동시에 공격을 수행하여 전방위적인 영향을 미칩니다. 이러한 영향은 종종 매우 명확합니다. 주관적인 경험에서 비정상적인 트래픽, 접근 응답 캐시 또는 실패, 비정상적으로 높은 기계 부하 등을 통해 DDoS 공격이 발생했음을 판단할 수 있습니다.

DDoS 공격의 징후를 인식하는 것은 방어의 첫 번째 단계입니다. 사이버 위협이 계속 진화함에 따라, 정보에 밝고 준비하는 것이 중요합니다. 이러한 공격의 지표를 이해하고 대응 방법을 아는 것으로 네트워크를 상당한 피해로부터 보호하고 향후 위협에 대한 회복력을 보장할 수 있습니다.

Tencent EdgeOne는 웹사이트와 서비스의 가용성과 보안을 유지하는 데 필수적인 강력한 DDoS 보호를 제공합니다. 여기 몇 가지 주요 장점이 있습니다:

  • 포괄적인 보호: EdgeOne은 다양한 유형의 공격으로부터 보호하는 포괄적인 DDoS 보호를 제공하여 서비스가 온라인 상태를 유지하고 영향을 받지 않도록 보장합니다.
  • 실시간 경고: 이 플랫폼은 진행 중인 공격에 대해 관리자에게 신속하게 알리는 실시간 알림 기능을 갖추고 있습니다.
  • 상세한 공격 로그: 공격 시도의 상세한 로그가 콘솔 내에서 제공되어 투명성을 제공하고 향후 예방 전략에 도움이 됩니다.
  • 글로벌 범위: 전 세계에 위치한 엣지 서버를 통해 EdgeOne은 트래픽을 효율적으로 재배치하고 관리하여 전 세계 사용자에게 원활한 서비스를 제공합니다.

이러한 기능은 복잡한 DDoS 위협으로부터 보호할 수 있는 강력한 보안 인프라를 구성하는 데 기여합니다. 네트워크가 DDoS 공격을 받고 있다면, 즉시 연락해 주십시오 추가 지원을 위해.