DDoS(분산 서비스 거부 공격)는 네트워크나 웹 서버와 같은 리소스를 대상으로 하는 사이버 위협의 일종으로, 이를 오프라인으로 전환하라는 요청이 압도적으로 많습니다. 트래픽이 서버 용량을 초과하면 합법적인 사용자의 합법적인 요청에 응답할 수 없어 "서비스 거부"가 발생합니다.
DDoS 공격에는 여러 시스템이 네트워크에서 함께 작동하여 용량을 초과하는 대량의 트래픽으로 서버를 넘치게 합니다. 이러한 공격은 종종 악의적인 행위자에 의해 저질러지며 은행, 뉴스 웹사이트, 경우에 따라 발전소와 같이 사람들이 필수 서비스에 의존하는 대기업을 대상으로 합니다. 최종 목표는 시스템 중단 및 다운타임 동안의 절도 및 강탈에서부터 피싱 및 랜섬웨어와 같은 추가 공격 실행, 평판 손상 또는 단순히 무정부 상태 유발에 이르기까지 다양할 수 있습니다.
DDoS 공격의 작동 원리
DDoS 공격은 봇넷이라고 알려진 손상된 장치 네트워크를 공격자가 원격으로 제어하여 랩톱, 모바일, 서버 및 IoT 장치와 같은 다양한 장치를 포함할 수 있는 악성 트래픽으로 대상 리소스를 넘치게 할 때 발생합니다.
봇넷은 장치에 악성 코드를 주입하여 생성됩니다. 봇넷이 생성되면 공격을 수행하기 위해 각 봇에 원격 명령이 전송됩니다. DDoS 공격은 각 봇이 정상적으로 보이고 합법적인 트래픽과 분리하기 어려운 트래픽을 전송하기 때문에 탐지하기 어렵습니다. 이는 DDoS 공격 보호가 중요한 이유 중 하나입니다.
자세히 보기: DDoS 공격의 작동 방식
DDoS 공격은 얼마나 파괴적일 수 있습니까?
DDoS 공격이 위험한 주요 이유 중 하나는 단순성 때문입니다. DDoS 공격을 생성하고 실행하는 데는 매우 정교한 기술이 필요하지 않습니다. 해커는 대상 서버에 코드를 설치할 필요가 없습니다. 필요한 것은 기계를 손상시키고 이를 제어하여 대상 웹 서버에 동시에 수백만 개의 핑을 보내는 것입니다. 실제로 2016년 Dyn 공격에 사용된 Mirai 봇넷은 오픈 소스였으며, 이는 모든 사이버 범죄자가 향후 동일한 기능을 사용하여 공격을 시작하기 위해 이를 사용하고 조정할 수 있음을 의미합니다.
DDoS 공격은 들어오는 인터넷 트래픽이 분산되기 때문에 방어하기도 까다롭습니다. 봇넷에 감염된 "좀비" 시스템은 서로 다른 소스 IP 주소를 가지고 있습니다. 의심스러운 IP 주소의 요청을 차단하는 필터를 추가하는 것도 하나의 대책입니다. 그럼에도 불구하고 이러한 IP 주소가 수백만 개 있으면 그렇게 많은 요청이 발생하면 지속 불가능한 방어 전략이 됩니다.
설상가상으로 DDoS 공격의 잠재적인 공격 벡터는 매일 증가하고 있습니다. 더 많은 장치가 일상적인 소비자의 손에 들어가고 IoT 시장이 더 많은 유형의 장치를 포괄하도록 확장됨에 따라 잠재적인 DDoS 공격을 방어하는 것이 더욱 어려워지고 있습니다. 이러한 장치에는 표준 컴퓨터나 서버에 비해 고급 보안 소프트웨어가 없을 수 있으므로 해킹 및 손상에 취약하여 봇넷의 일부를 형성할 수 있습니다.
다양한 유형의 DDoS 공격
DDoS 공격은 네트워크 인프라를 대상으로 하는 네트워킹 계층 또는 프로토콜 공격, 앱을 직접 무력화시키는 애플리케이션 계층 공격, 네트워크 대역폭을 넘어 전송되는 엄청난 양의 트래픽에 의존하는 볼륨 기반 트래픽 공격 등 다양한 유형으로 나타납니다. 이러한 공격은 시스템 폭주 또는 충돌을 목적으로 할 수 있으며 HTTP, DNS 또는 ICMP와 같은 다양한 방법을 통해 실행될 수 있습니다. 각 공격의 심각도는 사용된 유형과 방법에 따라 다르게 측정됩니다.
자세히 보기: DDoS 공격 유형
DDoS 공격으로부터 보호하기 위해 DDoS 공격을 식별하는 방법
앞서 언급했듯이 DDoS 공격은 원격 제어 봇넷의 일부일지라도 합법적인 장치의 트래픽을 포함하므로 탐지하기 어려울 수 있습니다. 이로 인해 이러한 봇넷 트래픽과 합법적인 요청을 구별하기가 어렵습니다. 그러나 DDoS 공격으로부터 비즈니스를 식별하고 보호할 때 주의할 수 있는 몇 가지 증상이 있습니다.
DDoS 공격으로부터 보호하려면 급격한 성능 저하를 모니터링하고 특정 IP 주소, 장치 유형, 위치 또는 브라우저에서 공격 트래픽의 징후를 찾으십시오. 비정상적으로 단일 웹페이지로 향하는 트래픽이나 이상한 시간 동안 또는 정기적으로 짧은 간격으로 급증하는 트래픽을 조사합니다.
성능 저하를 모니터링하는 것 외에도 DDoS 공격의 신호일 수 있는 비정상적인 기술 문제를 식별하는 것이 중요합니다. 느린 네트워크 성능, 파일 열기 또는 웹 사이트 액세스의 어려움은 공격의 전조일 수 있습니다. 이러한 문제를 면밀히 조사하면 해당 문제가 DDoS 위협에서 비롯되었는지 판단하는 데 도움이 될 수 있습니다.
자세히 보기:
비즈니스를 위한 DDoS 완화
디도스 보호 오늘날 비즈니스를 위한 사이버 보안의 필수 구성 요소가 되었습니다.
DDoS 공격에는 공격자가 대상 네트워크 리소스를 압도하기 위해 봇 수 또는 손상된 장치 수의 강점을 사용하는 것이 포함됩니다. 사용된 방법의 단순성에도 불구하고 DDoS 공격은 서버 다운타임, 고객에 대한 서비스 중단, 기타 보다 광범위한 공격을 시작하는 경로 등 기업에 심각한 피해를 입힐 수 있습니다. 따라야 할 몇 가지 간단한 규칙은 다음과 같습니다.
즉각적인 대응 및 완화
DDoS 공격이 감지되는 즉시 가장 먼저 해야 할 일은 DDoS 공격의 영향을 완화하는 것입니다. 이는 유해한 트래픽을 식별하고 필터링할 수 있는 특정 도구나 서비스를 배포하여 실제 트래픽이 문제 없이 목적지에 도달할 수 있도록 함으로써 가능합니다.
그러나 DDoS 보호 전략을 효과적으로 구현하려면 단순히 증상을 식별한 다음 실시간으로 공격에 대응하는 것만으로는 충분하지 않습니다. DDoS 위협이 감지될 때까지 피해의 일부 또는 대부분이 이미 발생했을 수 있으며 피해 범위를 최소화하기 위해 시간과의 경쟁을 벌일 가능성이 높습니다. 이것이 사전 대응하고 비즈니스를 위한 DDoS 완화 클라우드 서비스를 탐색하는 것이 중요한 이유입니다.
평가 및 분석
공격이 완화되면 발생한 피해를 철저하게 평가하는 것이 중요합니다. 여기에는 시스템 로그와 네트워크 트래픽을 분석하여 공격 범위를 이해하고 악용된 취약점을 식별하는 작업이 포함됩니다.
보안 정책 강화
보안 정책 강화는 DDoS 공격으로부터 복구하는 데 있어 중요한 단계입니다. 여기에는 향후 공격으로부터 더욱 효과적으로 보호하기 위해 더욱 엄격한 액세스 제어, 방화벽 규칙, 침입 탐지/방지 시스템을 구현하는 것이 포함될 수 있습니다.
DNS 및 CDNetworks와 같은 서비스 제공업체를 포함한 전문 서비스는 다음과 같은 네트워크 모니터링 도구 및 기술을 사용하여 네트워크와 시스템을 보호하는 데 도움을 줄 수 있습니다. 콘텐츠 전송 네트워크, 필요에 따라 악의적인 공격 트래픽을 라우팅합니다.