발생하지 않은 DDoS 공격

오전 9시 9분: 제 1파

공격은 오전 9시 9분에 시작되었습니다. 초당 5만 건의 TCP SYN 요청이 주요 금융기관의 공용 웹 사이트에 쇄도하기 시작했습니다. 몇 분이 지나자 이러한 SYN 요청 수는 초당 10만 건까지 늘어났고 궁극적으로 초당 30만 건에 달하게 되었습니다.

44분이 지나자 제 2파가 몰려왔습니다. 동일한 서버를 대상으로 SYN 세션 플러드 공격이 이루어졌고, 처음에 초당 10만 개 세션으로 시작한 것이 30초 동안 급속하게 증가했으며, 유선 대역폭 4 Gbps가 점유되었고 270만 개의 플로우가 활성 상태였습니다.

DDoS 완화

모니터링 시스템이 특이 트래픽을 보고했고 경고를 받은 보안팀은 몇 분 내에 컨퍼런스 브리지에 집결했습니다. 보안팀은 DDoS 완화 서비스에 연락을 하여 공격을 받고 있음을 알리고 동 서비스에 트래픽 처리를 요청했습니다.

처음 4분 동안은 시스템이 가동 상태로 유지되었습니다. 하지만 초당 평균 사용자 요청 수 350건 중에서 100건 정도만이 서비스되며 성능이 급격히 저하되고 있었습니다. 그 이후에는 최종 사용자에 대한 모든 서비스에 액세스할 수 없게 되었습니다. 20분이 지나서 완화 서비스가 트래픽을 리디렉션하여 "스크러빙"을 통해 공격자 세션을 제거했으며, 그 이후 서비스가 온라인 상태로 돌아왔습니다.

오전 11시 20분: 2번의 추가 공격

그런 다음 오전 11시 20분에 UDP 패킷과 SYN-ACK 패킷의 플러드를 동시에 전송하는 2번의 추가 공격이 이루어졌으며, 서버에서 대응을 시도하면서 CPU 리소스가 빠르게 소진되었습니다. 보안팀은 이러한 공격이 지속되리라는 것을 알고 있었고, 완화 서비스는 공격 트래픽을 라우팅하려고 시도했습니다.

하지만 이 시점에서 트래픽을 DDoS 완화 서비스로 라우팅하는 데 사용된 특수 라우터 터널에 장애가 발생했습니다. 그에 따라 정상 사용자 트래픽과 공격 트래픽이 모두 서버에 다시 무제한으로 도달하게 되었습니다. 2분 이내에 모든 공용 서비스가 오프라인이 되었습니다. 라우팅 터널을 복구하는 데 17분이 걸렸으며, 공격 트래픽은 다시 물러났습니다.

오전 12시 46분: 상황 종료

12시 46분에 공격이 종료되었고 보안팀은 점심 식사를 하러 갈 수 있었습니다.

결과: 향후 2년간 수백만 달러의 비용을 절감하고 수 시간의 가동 중단을 예방하게 되었습니다. 그렇습니다. 이 공격은 실제로 좋은 결과를 가져다주었습니다.

이 DDoS 공격은 실제로 발생하지 않았기 때문입니다. 이 공격은 보안팀이 평소 이용하던 인력, 프로세스 및 외부 공급업체를 테스트하기 위해 수행한 실제적인 테스트였습니다. addd test 

이제 보안팀은 수집한 중요 정보를 바탕으로 실제 공격에 대비하고 큰 피해를 막을 수 있게 되었습니다. DDoS 공격으로 인한 비용에는 영업 또는 광고 매출 손실 그리고 DDoS를 "연막 전술"로 이용하는 해커의 네트워크 침입 및 데이터 절도 가능성과 같은 직접적인 피해뿐만 아니라 평판 저하와 같은 간접적인 피해도 포함됩니다.

이 실제적인 DDoS 시뮬레이션으로부터 보안팀이 알게 된 내용은 다음과 같습니다.

  • 모니터링 시스템이 잘 작동하며 다양한 유형의 공격을 탐지함
  • DDoS 완화 서비스가 실제 공격에 대응하는 데 시간이 너무 오래 걸렸음
  • 완화 서비스의 라우팅 메커니즘이 다수의 DDoS 공격을 감당할 만큼 견고하지 못함
  • 현재 방어 시스템이 있어도 대규모 공격을 받으면 실질적인 가동 중단이 초래될 수 있음 add test

이번 연습에서 얻은 가장 큰 성과는 다른 DDoS 완화 서비스 옵션을 살펴보고 재테스트를 통해 신속한 대응 시간과 견고한 라우팅을 확보해야 한다는 것이었습니다. ad test  이를 통해 실제 공격 발생 시 초래되는 막대한 피해를 예방할 수 있게 됩니다.

앞에서 설명한 공격은 서버를 대상으로 대량 트래픽을 사용하여 네트워크 레이어에서 수행되는 간단한 공격입니다. 애플리케이션 레이어에서 수행되는 더 복잡한 DDoS 공격이 있으며, 해커는 "고비용의" 사용자 작업을 식별하고 실제 사용자가 그러한 작업을 하는 것처럼 시뮬레이션하여 병목 현상을 유발하고 서버를 다운시킬 수 있습니다. 이러한 공격은 탐지 및 차단하기가 훨씬 까다롭습니다.

조직에서 DDoS를 시뮬레이션해야 하는 이유

DDoS 공격이 성행하고 있으며 기업의 온라인 활동에 큰 위험이 되고 있습니다. 모든 조직은 최소한 기본적인 수준의 DDoS 공격 시뮬레이션을 수행해야 하며, 이를 통해 다음을 파악할 수 있습니다.

  1. DDoS 완화 솔루션이 얼마나 많은 수의 DDoS 패킷을 제거/처리하는가? 이는 모든 DDoS 솔루션이 약속하는 기본 수치이므로, 시뮬레이션을 통해 검증해 보아야 합니다.
  2. DDoS 완화 솔루션이 실제 공격 시나리오에서 어떻게 작동하는가? 그리고 다양한 유형과 규모의 공격에 어떻게 대처하는가?
  3. 다양한 규모의 DDoS 공격을 받을 때 사용자에게 제공할 수 있는 서비스 수준이 어떻게 되는가? 감당할 수 있는 최소 지연 시간 임계값이 어떻게 되는가?
  4. 동시에 서비스할 수 있는 사용자 수가 어떻게 되는가? 허용되지 않는 최소 임계값은 얼마인가?
  5. 공격을 물리치고 피해를 방지하기 위해 보안팀, 외부 공급업체, 구매한 보안 솔루션이 어떻게 서로 협력하는가?
  6. 보안팀은 주로 네트워크 침입 시도와 같이 DDoS 공격과 동시에 수행되는 다른 공격을 막을 준비가 되어 있는가? 아니면 모든 인원이 가장 눈에 띄는 공격에만 집중하는가?
  7. 이러한 모든 질문은 조직에서 공격을 시뮬레이션하지 않고는 답할 수 없는 것들입니다.

위의 질문에 답함으로써 다음과 같은 역량을 갖게 됩니다.

  • 실제 테스트를 통해 투자 가치가 입증된 가장 적합하고 비용 효과적인 DDoS 완화 인프라 및 파트너를 선택할 수 있습니다.
  • 공격에 신속하게 대응하여 피해를 최소화할 수 있습니다.
  • 공격 발생 시 예상되는 상황("일상적인 수준의 업무"가 아닌 예상되는 최소 웹 사이트 성능 임계값)을 이해관계자에게 전달할 수 있습니다.

또한 간단한 시뮬레이션의 한계점과 전문 장비를 사용하여 더 현실적인 조건에서 대규모로 DDoS를 테스트하는 방법에 대해 알아보겠습니다.

자체 IT 연구실에서 공격을 시뮬레이션하는 방법 배우기

자체적으로 DDoS 공격을 시뮬레이션하는 것이 복잡하게 여겨지십니까? 사실은 그렇지 않습니다.

위의 테스트 공격 사례는 Ixia가 대규모 네트워크 공격 시뮬레이션을 위해 제작한 특수 장비를 사용하여 한 고객사와 함께 실시한 실제 테스트를 기반으로 한 것입니다. 보안 테스팅 및 네트워크 가시성 분야의 선두주자 Ixia를 만나보십시오. Ixia는 Fortune 100대 기업들 중 77개 기업 그리고 전 세계 상위 50대 통신기업들 중 47개 기업과 협력하고 있으며, 수천 개의 조직들이 DDoS 공격을 시뮬레이션하고 테스트하도록 돕고 있습니다.

Ixia는 고객사가 공개 소스 소프트웨어를 사용하여 특별한 기술 없이도 자체 연구실에서 DDoS 시뮬레이션을 실시할 수 있도록 간단 안내서를 제공해드립니다. 따라서 고객사가 "실제적인" DDoS 공격을 경험하는 한편 자체 인력과 프로세스에 대한 첫 번째 테스트를 수행할 수 있습니다.