Slowloris & R.U.D.Y.: 저속 및 느린 애플리케이션 계층 DDoS 공격 탐지 및 차단

EdgeOne-Product Team
5 분 읽기
May 29, 2025
3D Rendering of Computer Keyboard with DDoS Attack Key DDoS Attack Button on Dark Keyboard Close-Up of DDoS Attack Key on Computer Keyboard

소개: 재정의된 은밀한 위협

전통적인 분산 서비스 거부(DDoS) 공격이 대량의 트래픽으로 서버를 압도하는 반면, 저속 및 느린 애플리케이션 레이어 DDoS 공격은 더욱 교묘한 위협으로 부상했습니다. 이러한 공격은 최소한의 자원 소비로 목표를 마비시킵니다. Slowloris와 R.U.D.Y. (R-U-Dead-Yet?)가 두 가지 주요 무기입니다. Cloudflare의 2022 보고서에 따르면, 애플리케이션 레이어 공격의 35% 이상이 이러한 기술을 사용하고 있으며, 평균 탐지 지연 시간은 72분입니다. 이 문서는 그 메커니즘을 분석하고 실행 가능한 탐지 및 완화 전략을 제공합니다.

저속 및 느린 공격의 구조

Slowloris: 연결 고갈의 예술

2009년 보안 연구원 RSnake에 의해 만들어진 Slowloris는 Apache와 같은 전통적인 웹 서버의 동시 연결 처리 결함을 이용하도록 설계되었습니다. 그 우아함은 단 하나의 일반 컴퓨터만으로도 목표를 마비시킬 수 있다는 점에 있습니다. 이 공격은 해킹 집단인 Anonymous에 의해 정부 웹사이트를 다운시키기 위해 무기로 사용되면서 악명을 떨쳤습니다.

  • 공격 워크플로우:
  1. 불완전한 헤더(예: \r\n\r\n 누락)로 수많은 HTTP 연결을 설정합니다.
  2. 연결을 유지하기 위해 정기적으로 쓰레기 바이트(예: X-a: b\r\n)를 전송합니다.
  3. 하나의 스레드는 200-400개의 동시 연결을 차지할 수 있습니다.
  • 영향 공식:
서비스 붕괴 임계값 = 서버 최대 연결 / (공격 스레드 × 스레드당 연결 수)

예: Nginx의 기본 10,000 연결 한도는 단 25개의 공격 스레드로 초과될 수 있습니다.

R.U.D.Y.: POST 요청 중독

이름은 피해자에게 "R-U-Dead-Yet?"라고 조롱하며 그 파괴력을 암시합니다. 2014년에 처음 관찰된 R.U.D.Y.는 서버가 완료되지 않은 POST 요청을 무기한 보존하는 것을 이용하여, 1 Kbps만큼 낮은 대역폭 소비로 지속적인 자원 점유를 달성합니다. 그 데뷔는 주요 전자상거래 플랫폼에서 장기간의 중단을 초래했습니다.

공격 워크플로우:

  1. 목표 정찰
    R.U.D.Y.는 먼저 목표 웹사이트를 스캔하여 연락처 양식, 검색창, 댓글 섹션 등 악성 제출에 취약한 모든 웹 양식을 기록합니다.
  2. 제작된 POST 요청
    공격자는 서버가 예상 데이터에 대해 자원을 예약하도록 속이기 위해 거대한 Content-Length 헤더(예: 10GB)를 가진 유효한 POST 요청을 보냅니다.
  3. 저속 및 느린 데이터 드립
    요청을 완료하는 대신 R.U.D.Y.는 페이로드를 한 바이트씩 전송하며 각 바이트 사이에 ​10초의 지연을 둡니다. 이는 0.1 Bps의 속도로 연결을 유지합니다.
  4. 연결 지속성
    서버가 비활성 연결을 종료하려고 시도할 때(일반적으로 60-300초 후), R.U.D.Y.는 연결 테이블을 채우기 위해 요청을 다시 시작합니다.

영향 증폭:

서버 스레드/프로세스는 데이터 완료를 기다리며 무기한 대기합니다. 정밀한 타이밍 제어로 인해 ​단일 공격자가 10,000개 이상의 연결을 점유할 수 있습니다 볼륨 경고를 트리거하지 않고도. 이 공격은 서버 작업 풀의 완전한 고갈로 이어지며, 종종 15-30분 이내에 애플리케이션을 크래시 시킵니다.

느린 DDoS 공격 탐지 방법

웹사이트가 갑자기 느려지거나 크래시될 때, 전통적인 방화벽은 응답하지 않을 수 있습니다. 왜냐하면 이러한 공격은 정상 방문자로 가장하기 때문입니다! 이것이 바로 느린 DDoS 공격(Slowloris 및 R.U.D.Y.)의 교활한 본질입니다.

3단계 자기 점검: 웹사이트가 공격받고 있습니까?

1. 사용자 행동 시간 관찰

  • 정상: 양식 제출에 3초 소요
  • 공격 중: 동일한 작업에 3분 이상 소요

2. 서버 연결 수 확인

  • 서버 제어판(cPanel 등)에 로그인
  • "활성 연결"이 갑자기 급증했는지 확인
  • 정상 소규모에서 중간 규모 웹사이트: 일반적으로 <500 연결
  • 공격 중: 5000+ 연결 초과 가능

3. 트래픽 패턴 비교

  • 무료 도구(예: Google Analytics)를 사용
  • 공격 기간과 정상 기간 비교:
    • 페이지 로드 시간(300% 이상의 증가가 경고 신호)
    • 사용자 체류 시간(비정상적으로 긴 시간은 공격 신호일 수 있음)

느린 공격을 막는 3가지 쉬운 방법

1. 연결 제한 활성화

레스토랑이 테이블당 식사 시간을 제한하는 것처럼, 서버에서도 제한을 설정하세요:

# 비기술 사용자에게 적합한 간단한 구성 예시
limit_conn per_ip 50;  # IP당 최대 50 연결
client_header_timeout 10s; # 10초 동안 데이터가 전송되지 않으면 연결 종료

2. 자동 알림 설정

UptimeRobot과 같은 무료 도구를 사용하여:

  • 매 분마다 사이트 속도를 모니터링
  • 응답 시간이 3초를 초과하면 즉시 SMS/이메일 알림 받기

3. 비상 대응 계획

이미 공격받고 있는 경우:

  • CAPTCHA 챌린지 활성화(5분 내 Cloudflare 설정)
  • 의심스러운 IP 범위 차단(로그에서 높은 빈도의 IP 확인)
  • 호스팅 제공업체에 트래픽 스크러빙 요청

최고의 선택: EdgeOne DDoS 보호

Tencent EdgeOne는 ​L3/L4 볼륨 공격과 정교한 L7 애플리케이션 레이어 위협에 대한 다계층 방어를 제공하며, 기본적으로 활성화된 사전 구성된 보호 정책을 갖추고 있습니다. 실시간 트래픽 모니터링 및 AI 기반 스크러빙 엔진은 ​99.99% 공격 트래픽 필터링 정확도를 50 밀리초 이내에 달성합니다.

특화된 방어: CC 공격 완화 시스템

애플리케이션 레이어 DDoS의 변형인 챌린지 붕괴(CC) 공격 (HTTP/HTTPS 플러드)는 악의적인 요청 폭풍을 통해 서버 자원을 고갈시키는 것을 목표로 합니다. EdgeOne은 세 가지 계층 방어 메커니즘을 배치합니다:

1.  ​적응형 주파수 제어

  • 기준 학습을 통해 비정상 IP를 동적으로 식별하고 IP당 요청 속도 제한을 부과합니다.
  • 방어 시나리오: 높은 빈도의 동시 요청(예: 500+ API 호출/초).
  • 일반 사용 사례: 전자상거래 플래시 세일 중 봇 구동 좌석 확보 공격 차단.

2. ​느린 공격 보호

  • 세션 속도 모델링을 사용하여 전송 속도가 <1 KB/s인 연결을 차단합니다.
  • 정밀 탐지: R.U.D.Y.'의 서명인 1바이트/10초 드립 공격을 식별합니다.
  • 임계값: 기준보다 70% 낮은 전송 속도의 세션을 자동 차단합니다.

3. 지능형 클라이언트 필터링(기본적으로 활성화됨)

  • 실시간 JS 챌린지: 브라우저 실행을 통해 클라이언트의 합법성을 검증합니다.
  • ​헤더 분석: 25개 이상의 헤더(예: 비정상적인 Accept-Language 분포)를 통한 이상 감지.
  • ​IP 평판 데이터베이스: 프록시/VPN 및 알려진 악성 IP의 트래픽을 플래그합니다.
  • 조치: 고위험 세션에 대해 CAPTCHA를 트리거합니다(허위 긍정률 <0.1%).
     

결론

Slowloris 및 R.U.D.Y.와 같은 저속 및 느린 DDoS 공격은 정상 트래픽을 모방하여 전통적인 방어를 우회하는 은밀한 위협입니다. 강제로 대량 공격과는 달리, 이들은 서버 자원을 조용히 고갈시키며, 종종 몇 시간 동안 감지되지 않습니다. 주요 요점:

1. 탐지는 행동 통찰력이 필요하다

  • 연결 지속 시간, 불완전 요청, 비정상적으로 낮은 데이터 속도 모니터링.
  • Google Analytics 및 UptimeRobot과 같은 무료 도구가 초기 경고 신호를 드러낼 수 있습니다.

2. 완화는 계층 방어를 요구한다

  • 서버 강화: 연결 제한 시행(예: Nginx의 limit_conn).
  • 리버스 프록시: 공격이 원래 서버에 도달하기 전에 필터링합니다.
  • AI 기반 솔루션: Tencent EdgeOne과 같은 도구는 행동 분석 및 실시간 트래픽 스크러빙을 사용하여 위협을 무력화합니다.

자주 묻는 질문

Q1: 비싼 서버로 업그레이드하면 공격을 막을 수 있나요?

A1: 공격자는 $1로 $10,000 서버를 마비시킬 수 있습니다.

Q2: 대형 웹사이트만 타겟이 되나요?

A2: 아닙니다. 2024년 4분기에는 마케팅 및 광고와 같은 산업(3번째로 많이 공격받음)과 소규모 서비스에 대한 랜섬 공격(12%의 피해자)이 공격자들이 크기뿐만 아니라 취약점을 타겟으로 한다는 것을 입증했습니다. (출처: Cloudflare 2024 Q4 보고서).

Q3: 워드프레스 사이트가 더 취약한가요?
A3: 본질적으로 그렇지는 않지만, 공격받은 CMS 사이트의 43%가 워드프레스를 운영합니다(출처: Sucuri). Wordfence와 같은 플러그인은 기본 보호를 추가합니다.

Q4: 느린 공격이 데이터를 훔치나요?
A4: 아니요. 그들의 목표는 당신의 사이트를 크래시시키는 것이지 정보를 훔치는 것이 아닙니다. 그러나 그들은 종종 실제 데이터 유출의 주의를 분산시킵니다!

Q5: 느린 공격은 일반적으로 얼마나 오래 지속되나요?

A5: 짧음: 1-6시간(소규모 사이트에 흔함). 연장됨: 며칠/주(기업을 대상으로 함)

Q6: VPN이 내 웹사이트를 보호할 수 있나요?
A6: 아니요. VPN은 당신의 브라우징을 보호하지만 당신의 서버를 보호하지는 않습니다. 대신 WAF(웹 애플리케이션 방화벽)를 사용하세요.