홍석범 선생님께 질문있습니다.

안녕하십니까? 오늘과내일의 홍석범입니다.

DDoS 공격의 종류는 두가지 정도로 분류할 수 있습니다.

1. 서버기반의 공격 
전체 네트워크에 마비를 유발하는 공격이 아닌 특정 사이트에 대한 공격의 경우 일반적으로 짧은 시간에 많은 웹 접속을 하여 웹 데몬이 처리할 수 있는 프로세스를 독점함으로써 다른 정상적인 접속을 느리게 하거나 아예 접속을 하지 못하게 하는 형태입니다 이러한 경우 IP당 패킷제한, IP자동차단,국가별차단등 여러가지 방법으로 방화벽에서 차단 가능합니다. 

2. 네트워크 기반의 공격
위와 같은 서버 수준의 공격이라면 피해가 크지 않으므로 그나마 다행이겠지만, 네트워크에 장애를 유발할 수 있는 대규모의 공격이라면 상황이 달라집니다. 서버의 문제가 아니라 스위치 등 네트워크 장비의 장애가 유발되며 설사 장애가 나지 않더라도 회선 대역폭이 가득차게 되어 서비스 자체가 불가능해 지기 때문입니다.

이는 예전의 yahoo나  ebay등을 공격했던 형태의 공격으로, 대역폭을 가득 채우는 형태이므로 방화벽등으로 차단이 불가능하며 백본망자체에서의 차단만이 해결책입니다. 그러나 공격의 양상도 다양하기 때문에 공격 발생시, 공격의 양상파악 후 수작업으로 차단하여야 하므로 대응하기가 쉽지 않은것이 사실입니다.
즉,  만약 서비스되고 있는 망이 1G인데, 7-8G 이상의 트래픽이 들어온다면 상위 망 차원에서 해결되지 않는한 서비스가 불가능하다는 것입니다. 따라서, IDC등 백본망 차원에서의 지원이 없는한 해결은 쉽지 않으며 이 과정에서 일정기간동안 네트워크 장애가 발생하게 되는 것입니다. 국내 IDC의 경우 백본망이 좋아지고는 있지만, 아직 기가나 테라비트 수준이며 미국등은 그 1,000배인 수십 페라비트 수준이라고 하니 참고하시기 바라며, 국내의 경우도 KT나 Dacom등의 백본에 직접 연동되어 서비스한다면 어느정도 가능하지 않을까 합니다..

감사합니다.  

권민수 님의 글

고객님께서 문의하신 DDoS 공격에 대해서는 일반적인 IDC에 입주해 있는 VIDC에서는