회사의 웹 사이트 또는 애플리케이션이 의심스러운 트래픽이 급증하여 갑자기 오프라인 상태가 되는 경우 DDoS (분산 서비스 거부) 공격의 대상이 되었을 수 있습니다.
이러한 종류의 사이버 공격이 증가하고 있으며, 이런 공격으로 심각한 웹 사이트 중단 시간을 초래할 경우 비즈니스 및 브랜드 평판에 치명적일 수 있습니다.
이 안내서에서는 DDoS 공격의 세부 사항, DDoS 공격을 방지하는 방법 및 목표로 된 경우 대처 방법에 대해 설명합니다.
빠른 링크: DDoS는 자주 하는 질문
- DDoS 공격이란 무엇입니까?
- 다양한 공격 유형
- DDoS 공격의 첫 번째 예
- DDoS 공격은 누가 시작하며 이유는 무엇입니까?
- DDoS 공격으로 누가 위험이 가장 큽니까?
- DDoS 공격을 방지하는 방법
- DDoS공격의 목표로 된 경우 대처 방법
- 컴퓨터가 봇넷에 등록되어 있는지 확인하는 방법 (및 대처방법)
DDoS 공격이란 무엇입니까?
DDoS는 ‘분산 서비스 거부’의 약자입니다.
DDoS 공격은 해커가 시스템을 압도하고 운영 능력을 붕괴시키기 위해 네트워크 또는 서버에 대량의 트래픽을 전송할 때 발생합니다. 이러한 공격은 일반적으로 일시적으로 웹 사이트 또는 응용 프로그램을 오프라인 상태로 만드는 데 사용되며 한번 공격하면 며칠 또는 그 이상 지속될 수 있습니다.
기술 자료
웹 사이트 또는 서버가 공격을 받으면 합법적 인 트래픽을 처리할 수 없으므로 서비스 거부라는 용어를 사용합니다.
또한 불법 트래픽은 수백, 수천 또는 수백만 대의 다른 컴퓨터들에서 발생하기 때문에 분산 서비스 거부라고 합니다. 공격이 하나의 단일 소스에서 오는 경우, DoS 공격이라고 합니다.
봇넷 사용하기
DDoS 공격은 봇넷(공격을 시작하기 위해 멀웨어 를 사용하여 원격으로 인계된 많은 컴퓨터 또는 인터넷 사용 가능 장치의 모음)을 이용합니다. 이것을 ‘좀비’ 라고 합니다.
다양한 공격 유형
좀비는 개방형 시스템 간 상호 접속(OSI)의 여러 계층에서 취약점을 공격하며 Cloudflare에 따라 일반적으로 세 가지 범주로 나뉩니다:
1. 응용 프로그램 계층 공격
응용 프로그램 계층 공격은 가장 간단한 DDoS 형태입니다. 그들은 정상적인 서버 요청을 모방합니다. 다른 말로 일반 사용자와 마찬가지로 봇넷의 컴퓨터나 장치가 함께 서버 또는 웹 사이트에 액세스합니다.
그러나 DDoS 공격의 규모가 커짐에 따라 겉보기에 합법적인 요청의 양은 서버가 처리하기에 너무 많아 져서 파괴됩니다.
2. 프로토콜 공격
프로토콜 공격은 의도된 대상을 과부화하고 압도하기 위하여 서버가 데이터를 처리하는 방법을 악용합니다.
프로토콜 공격의 일부 변형에서 봇넷은 서버가 조립할 데이터 패킷을 보냅니다. 그런 다음 서버는 수신하지 않은 원천지 IP 주소에서 확인을 받기를 기다립니다. 그러나 풀어야 하는 더 많은 데이터를 계속해서 받고 있습니다.
다른 변형에서 단순히 재조합할 수 없는 데이터 패킷을 보내므로 서버의 리소스를 압도합니다.
3. 볼륨 공격
볼륨 공격은 애플리케이션 공격과 유사하지만 급진전합니다. 이러한 형태의 DDoS에서는 어떤 방식으로든 증가된 봇넷 요청에 의해 전체 서버의 사용 가능한 대역폭이 소모됩니다.
예를 들어, 봇넷은 때로는 서버를 속여 자체로 엄청난 양의 데이터를 보냅니다. 이는 서버가 데이터 수신, 어셈블링, 전송 그리고 수신을 다시 처리해야 함을 의미합니다.
DDoS 공격의 첫 번째 예
처음 알려진 DDoS 공격은 Norton에 따르면 2000년에 Michael Calce라는 15세 소년이 수행했으며 Yahoo, CNN 및 eBay와 같은 거대한 웹 사이트를 일시적으로 중단하여 위에 표시된 이미지와 같은 오류 메시지를 표시하는 데 사용되었습니다.
이 공격 브랜드는 그 이후로 계속 증가하고 있습니다.
DDoS 공격은 누가 시작하며 이유는 무엇입니까?
DDoS 공격은 강력하고 정교해졌지만 거의 모든 사람이 기본적인 DDoS 공격을 수행할 수 있습니다. 일반 사용자는 목적한 온라인 또는 암거래 대상에 대한 DDoS 공격에 대해 손해를 볼 수 있습니다. 심지어 악의적인 계획을 수행하기 위해 기존 봇넷을 빌리거나 임대할 수도 있습니다.
Michael Calce (일명 “Mafiaboy”)가 수행한 첫 번째 공격과 같은 초기 DDoS 공격은 단순히 해커의 자랑스러운 권리에 대해 수행되었습니다. 바로 해커들이 할 수 있기 때문입니다.
일반적으로 이들은 DDoS 공격을 사용하는 사람들이며 그 이유는 다음과 같습니다
- 경쟁자 중의 우위를 확보하려는 기업 오너
- 상대방을 물리치기 위한 경쟁력있는 게이머
- 사람들이 특정 콘텐츠에 접속하지 못하게 하는 활동가
- 목표물에 대한 복수를 제정하는 트롤
DDoS 공격으로 누가 위험이 가장 큽니까?
일반 사람은 걱정하지 않아도 되지만 거대한 기업은 주요 목표입니다. 그들은 DDoS 공격으로 인한 중단 시간의 결과로 잠재적으로 수백만 달러 또는 수십억 달러의 손실을 입을 수 있습니다. 소규모 사업주도 상당한 어려움을 겪을 수 있습니다.
언제든지 잠재적인 DDoS 공격에 대비하여 온라인 상태의 모든 조직이 완전히 준비해야 합니다.
DDoS 공격을 방지하는 방법
악의적인 공격자가 서버에 불법 트래픽을 보내는 것을 막을 수는 없지만 미리 부하를 처리할 준비를 할 수 있습니다.
1. 트래픽을 모니터링하여 조기에 파악하십시오
아마존 웹 서비스 (AWS)에 따르면 조직의 정상 트래픽, 낮은 트래픽, 대용량 트래픽을 구성하는 요소를 잘 이해하는 것이 중요합니다.
트래픽이 상한선에 도달했을 때 예상되는 것을 알면 속도 제한을 설정할 수 있습니다. 즉, 서버는 처리할 수있는 만큼의 요청만 수락합니다.
트래픽 추세에 대한 최신 지식을 보유하면 문제를 신속하게 파악하는 데 도움이 됩니다.
계절적 요인, 마케팅 캠페인 등으로 인한 트래픽의 급증에도 대비해야 합니다. 많은 실제 트래픽(예를 들어, 바이러스 성 소셜 미디어 링크에서)은 때로 비슷한 서버 충돌 효과를 가질 수 있습니다. 가동 중단은 합법적인 출처에서 왔음에도 불구하고 여전히 귀사의 비즈니스에 많은 비용을 소비하게 할 수 있습니다.
2. 더 많은 대역폭 확보
평균 및 높은 트래픽 수준을 기반으로 필요한 서버 용량에 대해 잘 알고 있다면 더 많은 것을 얻을 수 있습니다. 실제로 필요한 것보다 많은 서버 대역폭을 확보하는 것을 “오버 프로비저닝” 이라고 합니다.
웹 사이트, 서버 또는 응용 프로그램이 완전히 오버로드되기 전에 진행되는 DDoS 공격의 경우 더 많은 시간을 소비하게 됩니다.
3. CDN (콘텐츠 배포 네트워크) 사용
DDoS의 목표는 호스팅 서버에 과부하를 주는 것입니다. 그러면 한 가지 해결책은 전 세계에 있는 여러 서버에 데이터를 저장하는 것입니다.
이것이 바로 콘텐츠 배포 네트워크가 하는 일입니다.
CDN은 보다 빠른 성능을 위해 각 사용자 가까이에 있는 서버의 사용자에게 웹 사이트 또는 데이터를 제공합니다. 그러나 하나를 사용하면 하나의 서버에 과부하가 걸리므로 공격에 덜 취약하며 사용자에게는 아직도 더 많은 것이 있습니다.
DDoS의 표적이 된 경우 대처 방법
요즘 DDoS 공격은 매우 정교하고 강력하여 자체로 해결하기가 어려울 수 있습니다. 그렇기 때문에 공격에 대한 최선의 방어선은 처음부터 올바른 예방 조치를 취하는 것입니다.
그러나 귀하가 공격을 받고 있고 서버가 지금 오프라인 상태라면 다음과 같은 몇 가지 작업을 수행할 수 있습니다:
1. 신속한 방어 조치를 취하기
정상적인 트래픽이 어떤 모양인지 잘 알고 있다면 DDoS 공격을 받는 시기를 매우 빠르게 파악할 수 있어야 합니다.
의심스러운 소스로부터 서버 요청이나 웹 트래픽이 대량으로 발생하는 것을 볼 수 있습니다. 그러나 서버가 완전히 압도되어 강제 종료되기 까지는 어느 정도 시간이 걸릴 수 있습니다.
가능한 한 빨리 속도 제한을 설정하고 서버 로그를 지워 더 많은 공간을 확보하십시오.
2. 호스팅 제공 업체에 알리기
다른 사람이 데이터를 제공하는 서버를 소유하고 운영하는 경우 그에게 즉시 공격 사실을 알리십시오.
그들이 공격이 멎을 때까지 트래픽을 “블랙홀”할 수 있기 때문에 합법적이든 불법적이든간에 서버에 대한 모든 수신 요청은 삭제됩니다. 다른 고객의 서버가 충돌하지 않도록 이 작업을 수행하는 것이 그들의 관심사일 것입니다.
그곳에서 그들은 불법 트래픽을 필터하고 정상적인 요청을 진행되도록 “스크러버”를 통해 트래픽을 다시 라우팅할 것입니다.
3. 전문가에게 알리기
만일 대규모 공격을 받거나 웹 사이트 또는 애플리케이션의 가동 중단을 허용할 수 없다면 DDoS 완화 전문가를 초대하는 것이 좋습니다.
그들이 할 수 있는 일은 부하를 처리할 수있는 대규모 서버로 트래픽을 전환하고 거기에서 불법적인 요청을 제거하는 것입니다.
4. 기다리기
전문가를 채용하여 웹 트래픽을 다시 라우트하고 스크럽하는 것은 많은 비용이 소요됩니다.
대부분의 DDoS 공격은 며칠(심각한 경우에는 더 오래 지속될 수 있음) 내에 끝나므로 항상 손실을 단순히 감수하고 다음에 더 잘 준비해야 합니다.
컴퓨터가 봇넷에 등록되어 있는지 확인하는 방법 (및 대처방법)
개인 사용자인 경우 컴퓨터가 사용자도 모르게 봇넷으로 모집될 수 있습니다.
징후
이것이 즉시 알수 있지는 않지만 다음과 같이 악의적인 활동이 기기의 백그라운드에서 진행될 수 있음을 보여주는 몇 가지 징후가 있습니다:
- 잦은 충돌
- 긴 로드 시간
- 이상한 오류 메시지
대처 방법
컴퓨터가 이상하게 작동한다고 생각되면 조치를 취하는 것이 가장 좋습니다. Windows, Mac, 및 Linux 용으로 권장되는 신뢰할 수 있는 바이러스 백신 소프트웨어를 설치하고 정기적인 바이러스 검색을 실행해야 합니다.
풀 스캔에서 컴퓨터에 멀웨어가 있는지 알려줄 수 있어야 합니다. 대부분의 경우 바이러스 백신은 바이러스를 제거할 수 있습니다. 빠른 온라인 바이러스 스캔도 역시 해롭지 않습니다.
이메일 첨부 파일이나 웹 파일에 대하여 그것이 무엇이고 누가 보냈는지 모르면 다운로드하지 마십시오. 이러한 피싱 시도는 사용자가 모르게 장치에 멀웨어를 설치할 수 있습니다.
준비하기
기관 서버는 실제로 필요한 것보다 훨씬 많은 양의 웹 트래픽이나 서버 요청을 준비하고 처리할 수 있어야 합니다. 왠간하면 안전하게 하십시오.
최선의 해결책은 맬웨어로부터 사용자를 보호할 수 있는 적절한 바이러스 백신을 설치하여 DDoS 공격의 위험을 방지하는 것입니다. CDN을 사용하고 정상적인 트래픽을 기반으로 속도 제한을 설정하는 것은 또 다른 훌융한 방비책입니다.
DDoS 공격이 진행되고 서버가 오프라인 상태가 되면 정상 상태로 다시 돌리는데 비용이 많이 들기 때문에 방비하는 것이 치료보다 낫습니다. 웹 사이트 가동 중단은 비즈니스 판매와 평판에 모두 영향을 미칠 수 있습니다. 따라서 비즈니스가 언제든지 모든 종류의 공격에 대비할 수 있도록 하십시오.