learning center banner

DDoS 공격이란 무엇인가?

분산 서비스 거부(DDoS) 공격의 세계를 우리의 포괄적인 가이드를 통해 알아보세요. DDoS 공격이 무엇인지 이해하고, 그 메커니즘에 대해 깊이 파고들며, 온라인 존재와 보안을 위협하는 다양한 유형을 밝혀내세요. 대역폭을 잠식하는 것을 목표로 하는 볼륨 공격부터 서비스의 특정 측면을 겨냥하는 애플리케이션 계층 공격까지, 공격자가 사용하는 다양한 전략에 대해 배워보세요.

Learning Center

서비스 거부(DoS) 공격과 분산 서비스 거부(DDoS) 공격은 목표 서버, 네트워크 또는 웹사이트를 방해하거나 종료하려고 시도하는 사이버 공격으로, 대량의 트래픽이나 요청으로 이를 압도하여 합법적인 사용자에게 접근할 수 없도록 만듭니다.

서비스 거부(DoS) 및 분산 서비스 거부(DDoS) 공격은 기업 및 조직에 상당한 피해를 입힐 수 있습니다. 이로 인해 수익 손실, 평판 손상, 심지어 법적 결과가 발생할 수 있습니다. 이러한 공격을 방지하기 위해 조직은 일반적으로 방화벽, 침입 탐지 시스템 및 트래픽 필터링과 같은 보안 조치를 사용합니다.

DoS 공격이란 무엇인가요?

서비스 거부(DoS) 공격은 대상 서버, 서비스 또는 네트워크의 정상적인 기능을 방해하기 위해 인터넷 트래픽의 홍수로 이를 압도하려는 악의적인 시도입니다. 이 공격의 목표는 웹사이트나 서비스를 의도된 사용자에게 사용할 수 없도록 만드는 것이며, 이는 대상의 자원을 고갈시킵니다. 데이터에 대한 무단 접근을 시도하는 다른 사이버 위협과 달리, DoS 공격의 주요 목표는 온라인 서비스의 접근성을 방해하여 기업과 사용자 모두에게 불편함과 잠재적인 재정적 손실을 초래하는 것입니다.

DoS 공격에서는 단일 공격자 또는 시스템이 대상 서버, 네트워크 또는 웹사이트에 대량의 요청이나 데이터 패킷을 전송하여 자원을 압도하고 서버가 중단되거나 응답하지 않게 합니다. 이는 트래픽 플러딩, 취약점 악용 또는 잘못된 형식의 패킷 전송과 같은 다양한 방법을 사용하여 수행될 수 있습니다.

DDoS 공격이란 무엇인가요?

분산 서비스 거부(DDoS) 공격은 DoS 공격의 보다 진보되고 조직적인 형태입니다. 단일 시스템 대신, 공격자는 여러 개의 감염된 시스템(종종 봇넷이라고 함)을 사용하여 대상에 동시에 공격을 가합니다. 이러한 분산된 공격 방식은 출처를 추적하고 방어하는 것을 더 어렵게 만듭니다. 왜냐하면 트래픽이 여러 서로 다른 출처에서 발생하기 때문입니다.

DDoS 공격은 개방형 시스템 상호 연결(OSI) 모델의 어떤 계층을 공격하는지에 따라 분류됩니다. 이들은 주로 네트워크(3계층), 전송(4계층), 표현(6계층) 및 애플리케이션(7계층) 계층에서 가장 흔하게 발생합니다.

OSI 모델에 따른 DDoS 공격

DDoS 공격은 어떻게 작동하나요?

DDoS 공격의 원리는 많은 수의 정당한 요청 또는 위조된 요청을 사용하여 대상 서버의 자원을 점유하여 합법적인 사용자에게 사용할 수 없도록 만드는 것입니다. 
DDoS 공격의 작동 방식을 살펴보면 다음과 같습니다:

  1. 봇넷 구축: 공격자는 먼저 맬웨어 또는 기타 수단을 사용하여 여러 인터넷 장치를 감염시켜 봇넷을 생성합니다. 이러한 감염된 장치는 공격자의 제어 아래에 있습니다.
  2. 공격 시작: 공격자가 공격을 시작하기로 결정하면, 그들은 봇넷에 지시를 보내 감염된 장치들이 대량의 요청을 대상으로 전송하도록 합니다. 이러한 요청은 TCP 연결, UDP 패킷 또는 HTTP 요청과 같은 애플리케이션 계층 요청이 될 수 있습니다.
  3. 자원 소모: 이러한 수많은 요청이 대상을 압도하면서, 비록 이 요청들이 합법적인 사용자에게는 사소하게 보일 수 있지만, 실제로는 대상 서버의 대역폭, 프로세서, 메모리 및 기타 자원을 압도하여 서버의 성능 저하, 지연 증가, 그리고 완전한 서비스 불가 상태를 초래할 수 있습니다.
  4. 신원 은폐: 공격자는 종종 프록시 서버, 가상 사설망(VPN) 또는 토르 네트워크를 사용하여 자신의 실제 IP 주소를 숨기고 추적 및 조사를 회피하려고 합니다.
  5. 지속적인 공격: DDoS 공격은 지속적이거나 간헐적일 수 있습니다. 공격 중에 공격자는 공격의 효과를 유지하기 위해 전술과 트래픽 양을 지속적으로 조정할 수 있습니다.

DDoS 공격의 유형은 무엇인가요?

공격 방법을 분석하고 분류할 때, 우리는 공격을 인프라 계층(3계층 및 4계층)과 애플리케이션 계층(6계층 및 7계층)으로 구분합니다. 3계층 및 4계층에 대한 공격은 일반적으로 인프라 계층 공격으로 분류되며, 이는 가장 일반적인 유형의 DDoS 공격입니다. 6계층 및 7계층에 대한 공격은 보통 애플리케이션 계층 공격으로 분류됩니다. 이러한 공격은 덜 일반적이지만, 보통 더 복잡합니다. 인프라 계층 공격에 비해 이러한 공격은 일반적으로 적은 양의 트래픽을 포함하지만, 특정 애플리케이션의 중요한 영역을 겨냥합니다.

일반적인 공격 시나리오에 따라 공격 유형은 다음과 같이 분류됩니다:

프로토콜 공격

이러한 공격은 네트워크 계층 또는 전송 계층 프로토콜을 대상으로 하며, 주로 3계층과 4계층에 집중합니다. 이러한 공격은 SYN 플러드 공격 및 UDP 플러드 벡터와 같은 반사 공격을 포함하여 DDoS 공격의 가장 일반적인 유형입니다. 이러한 공격은 일반적으로 수가 많아 네트워크 또는 애플리케이션 서버의 용량을 과부하시키는 것을 목표로 합니다. 그러나 이러한 공격은 명확한 식별자가 있어 탐지가 상대적으로 쉽습니다.
이 공격 유형은 두 컴퓨터가 네트워크 연결을 시작할 때 거치는 일련의 통신인 TCP 핸드셰이크를 악용합니다. 공격자는 스푸핑된 출처 IP 주소로 다수의 TCP 초기 연결 요청(SYN 패킷)을 대상에게 보냅니다. 대상 컴퓨터는 각 연결 요청에 응답한 후 핸드셰이크의 마지막 단계가 완료되기를 기다리지만, 이 단계는 결코 발생하지 않으므로 대상의 자원이 고갈됩니다. 결과적으로 이러한 공격은 서버나 로드 밸런서 및 방화벽과 같은 네트워크 장치의 자원을 소모하게 됩니다.

애플리케이션 계층 공격

이러한 공격은 특정 애플리케이션이나 서비스를 겨냥하며, 주로 6계층 및 7계층을 타겟으로 합니다. 이들은 복잡한 공격으로 종종 정상 사용자 트래픽과 유사합니다. 예를 들어 HTTP 플러드, Slowloris와 같은 느린 공격, DNS 쿼리 플러드 등이 있습니다. 이러한 공격은 덜 일반적이지만, 종종 더 복잡합니다. 인프라 계층 공격에 비해 이러한 공격은 일반적으로 적은 수의 요청으로 특정 애플리케이션의 중요한 부분을 겨냥하여 합법적인 사용자에게 접근할 수 없도록 만듭니다.

예를 들어, 로그인 페이지에서 높은 양의 HTTP 요청을 보내거나 리소스 집약적인 검색 API 또는 Wordpress XML-RPC 플러딩(Wordpress 핑백 공격) 등의 공격이 포함됩니다. 이는 수많은 웹 브라우저에서 새로 고침을 반복하여 HTTP 요청의 홍수를 만들어 서버를 압도하고 서비스 거부를 초래하는 것과 유사합니다. 이러한 공격은 단순하거나 복잡할 수 있습니다. 단순한 구현은 동일한 공격 IP 주소, 리퍼러 및 사용자 에이전트를 사용하여 URL에 접근하는 것이지만, 더 복잡한 버전은 수많은 공격적인 IP 주소를 사용하고 무작위 리퍼러 및 사용자 에이전트를 사용하여 무작위 URL을 타겟팅할 수 있습니다.

볼륨 공격

이것은 DDoS 공격의 가장 일반적인 유형으로, 네트워크 대역폭을 포화시키는 것을 목표로 합니다. 공격자는 대량의 트래픽을 생성하기 위해 '봇넷'을 많이 제어해야 하며, 네트워크 서비스가 사용할 수 없도록 만들기 위해 대량의 트래픽을 생성하고 전송하려고 합니다. 예를 들어 UDP 플러드, ICMP 플러드 및 기타 무차별 증폭 트래픽 공격이 포함됩니다. 특정 유형은 다음과 같습니다:

  • SYN 플러드: SYN 플러드는 TCP 핸드셰이크 프로세스를 악용하여 대량의 SYN 요청을 대상 서버에 전송하여 자원을 압도하고 응답하지 않도록 만드는 DoS 공격의 한 유형입니다. 이 공격은 합법적인 사용자가 연결을 설정하지 못하게 하여 서비스 중단을 초래합니다.
  • UDP 플러드: 공격자는 대상 서버의 임의 포트로 대량의 UDP 패킷을 보냅니다. 서버는 각 패킷에 응답하려고 하며, 결국 합법적인 요청을 처리할 수 있는 능력을 소진하게 됩니다.
  • ICMP (Ping) 플러드: ICMP 프로토콜을 사용하여 공격자는 대상 시스템에 대량의 '에코 요청'(핑 요청)을 보냅니다. 대상 시스템이 모든 요청에 응답하면 과부하가 걸려 합법적인 트래픽이 도달하지 못하게 될 수 있습니다.
  • 기타 스푸핑 패킷 플러드: 공격자는 IP 주소를 스푸핑하여 대량의 패킷을 보냅니다. 이러한 패킷은 어떤 프로토콜이라도 될 수 있으며, 가능한 한 많은 대역폭을 소비하려고 합니다.
  • 증폭 공격: 공격자는 응답이 큰 프로토콜(예: DNS 또는 NTP)을 사용하여 작은 쿼리 요청을 보내고 희생자의 IP 주소를 스푸핑합니다. 응답은 일반적으로 요청보다 훨씬 크기 때문에 희생자는 대량의 원치 않는 데이터를 받게 됩니다.
  • DNS 증폭: 증폭 공격의 특정 유형으로, 공격자는 DNS 서버를 사용하여 공격을 증폭합니다. 공격자는 작은 쿼리 요청을 보내지만 DNS 서버에 희생자의 주소로 더 큰 응답을 반환하도록 요청합니다.
  • NTP 증폭: DNS 증폭 공격과 유사하지만 NTP 서버를 사용합니다. 공격자는 NTP 서버에 희생자의 IP 주소로 시간 동기화 응답을 보내도록 요청합니다.
  • 스머프 공격: 공격자는 네트워크 방송 주소에 ICMP 요청을 보내고 모든 응답이 희생자의 IP 주소로 전송됩니다. 이는 희생자의 대역폭을 소진할 뿐만 아니라 중간 네트워크 장치에도 영향을 미칩니다.
  • 프래글 공격: 스머프 공격과 유사하지만 ICMP 대신 UDP를 사용합니다. 공격자는 방송 주소에 UDP 에코 요청을 보내고 모든 응답이 희생자에게 전달됩니다.

반사 및 증폭 공격

공격자는 제3자 서버를 이용하여 공격 트래픽을 증폭합니다. 예를 들어 NTP 증폭, DNS 증폭 및 SNMP 반사 공격이 있습니다. 이러한 공격은 희생자의 IP 주소를 위조하여 반사 서버의 응답을 희생자에게 향하게 하여 공격 트래픽을 증폭시킵니다. 이는 마치 누군가 레스토랑에 전화를 걸어 '각 요리를 하나씩 주문하고, 전체 주문 내용을 다시 말해줘.'라고 요청하는 것과 같지만, 회신 번호는 피해자의 번호입니다. 최소한의 노력으로 긴 응답을 생성하고 이를 피해자에게 보낼 수 있습니다. 공격자는 위조된 IP 주소(희생자의 IP 주소)를 사용하여 열린 DNS 서버에 요청을 보내면, 대상 IP 주소는 서버의 응답을 받게 됩니다.

다중 벡터 공격

이러한 공격은 위의 여러 방법을 결합하여 동시에 대상에 여러 방식으로 공격합니다. 이는 여러 공격 표면을 동시에 처리해야 하기 때문에 방어하기가 더 어렵습니다.

DDoS 공격이 초래할 수 있는 피해는 무엇인가요?

DDoS 공격이 비즈니스 중단이나 피해를 초래하면, 이는 막대한 상업적 손실을 가져올 수 있습니다.

  • 상당한 경제적 손실: DDoS 공격을 당한 후, 원본 서버가 서비스를 제공할 수 없게 되어 사용자가 귀사의 비즈니스에 접근할 수 없게 되면, 이는 막대한 경제적 손실과 브랜드 손실을 초래합니다.
  • 데이터 유출: 해커는 DDoS 공격을 통해 서버를 공격하는 동안 귀사의 핵심 비즈니스 데이터를 훔칠 기회를 가질 수 있습니다.
  • 악의적인 경쟁: 일부 산업에서는 치열한 경쟁이 있으며, 경쟁자가 DDoS 공격을 사용하여 귀사의 서비스를 악의적으로 공격하여 산업 경쟁에서 우위를 점할 수 있습니다.

결론

Tencent EdgeOne는 Tencent의 광범위한 글로벌 네트워크와 고급 보안 기술을 활용하여 강력한 DDoS 보호 기능을 제공합니다. 주요 특징은 다음과 같습니다:

  1. 기본 DDoS 보호: EdgeOne은 기본 DDoS 보호 기능을 플랫폼 수준에서 기본적으로 제공합니다. 이 보호 기능은 실시간으로 네트워크 트래픽을 모니터링하고 DDoS 공격이 감지되면 즉시 트래픽을 정리하여 2단계 보호를 제공합니다.
  2. 고급 보안 정책: 기본 DDoS 보호에는 공격 프로파일 기반의 보안 정책, 행동 패턴 분석, AI 지능형 인식 및 기타 보호 알고리즘이 포함되어 있어 일반적인 DDoS 공격 행위를 효과적으로 처리합니다.
  3. 강화된 HTTP 보안 기능: 웹 서비스를 보호하기 위해 EdgeOne은 다양한 HTTP 보안 기능을 제공합니다. 여기에는 원본 가용성 감소를 초래하는 고주파수 DDoS 공격에 대한 방어, 특정 IP 목록 또는 서브넷 목록을 차단하기 위한 사용자 정의 규칙, 허용된 접근 서비스 지역에 대한 제한이 포함됩니다.
  4. 독점 DDoS 보호: 기본 보호가 충분하지 않은 경우, EdgeOne은 독점 DDoS 보호에 대한 유료 기능을 제공합니다. 여기에는 정리 센터에 대한 독점 접근 및 트래픽 정리를 위한 고방어 IP가 포함되며, 보호 대역폭은 구매한 용량을 기반으로 합니다.

Tencent EdgeOne DDoS 보호를 사용함으로써 기업은 대규모 DDoS 공격에 직면하더라도 온라인 서비스의 가용성과 성능을 보장할 수 있습니다. 현재 무료 체험을 시작했습니다. 자세한 내용은 문의해 주세요.