포럼
최고의 DDoS 방어법
2014.05.26 22:22
흠 ... 이건 언제 까지나 백본이 받아 준다는 가정하에 작성된 게시글입니다.
저희 서비스는 특성상 ... 거이 3Gbps 급의 DDoS 공격이 자주 들어 옵니다 ...
무엇 보다, IDC 에 따라 다르지만, 대부분의 IDC(VIDC 업체 제외)는 한계를 10Gbps 로 보고 있습니다.
아주 공격량이 10Gbps를 넘어 버리면, 그때는 방어가 불가능 하지만... 그 이하 공격은 간단한 설정으로 방어가 가능합니다.
(언제 까지나 IDC일 경우 입니다.)
간단하게 정리 하면, DDoS 트래픽을 무시하는 겁니다...
DDoS공격이 발생하면, Inbound 트래픽이 갑작스럽게 올라가죠 ... 이제 문제가 되는 사항은 ... Inbound 가 1G, 2G로 올라 갔을때 서버가 응답을 해버리면... 그 트래픽이 In/Out 통합해서 3~4배 정도로 뛰어 버립니다 ...
가장 좋은 방법은 상단에 Cisco ASSA 장비나 .. Juniper 장비로 ... DDoS로 의심되는 트래픽을 Drop 하여 서버로 전달하지 않는게 가장 좋은 방법 이긴 하지만 ...
그냥 서버로 받아 버릴 경우는 해당 공격 인바운드 트래픽을 ... 무시 해버리는게 가장 좋죠 ...
Linux일 경우 IPtables 를 활용 하시면, DDoS 의심 트래픽을 모두 'Drop' 시켜 버리면, 해당 공격에 대한 아웃바운드가 0 Byte가 되어 버리므로 ... 백본에 부하를 최소화 할 수 있습니다.
(서버로 부하가 걸리는건 어쩔수 없지만, 백본에 부하만 최소화 한다면, 서비스가 중단되는 문제는 발생하지 않습니다.)
하지만 인바운드 트래픽이 IDC 한계를 넘어 버린다면 ... U+ 10G, KT 20G, SK 5G, VIDC 및 기타 IDC 1G ...
(한계 트래픽은 센터에 따라 다르지만 ... 제가 사용했던 센터 기준입니다.)
통신사 측에서 즉, 코어망 (IX망) 에서 해당 IP를 널처리해 버리니 ... 무용지물이 되긴 합니다 ...
하지만, 500~600M 정도의 궈여운(?) 공격에는.. 중단되지 않는 서비스가 가능합니다.
... 유용한 정보일지는 모르겠지만 ... DDoS 공격 발생 시 아웃바운드 트래픽만 최소화 한다면 ... 공격의 피해를 최소화 할 수 있습니다.
(실제로 DDoS 방어 서버 호스팅이라는 것이 하는 짓거리가 이 방식이죠 ... 장비로, 간단한 룰 적용해 놓고, 100만원~200만원 받아 먹는 업체들이 많죠 ...)
백본이 받혀주기만 하면 뭐...