Akamai dots background

DDoS 공격 차단 방법 - DoS 저지

DDoS 공격: 상황 개요

지난 십여 년 동안 지속적으로 확산해 온 DDoS(Distributed Denial of Service) 공격은 이제 공공 인터넷에 노출된 모든 산업 및 기업이 당면한 주요 위협 유형으로 부상하였습니다. 따라서 DDoS 방어는 성공적인 보안 전략을 수립하는 데 빠질 수 없는 부분입니다.

DDoS 공격은 웹 사이트의 원본 서버에 허위 요청을 대규모로 전송함으로써 해당 사이트를 다운시키거나 침입하려는 시도로서, 주로 다수의 위치 및 네트워크에서 동시다발적으로 일어납니다. 검사를 거치지 않고 이러한 DDoS 공격 트래픽을 허용하면 페이지 로딩 속도 저하에서부터 정상 사이트 트래픽의 전면적인 접속 차단까지, 다양한 결과가 발생할 수 있습니다.

이러한 유형의 공격은 "핵티비스트"나 이윤을 노리는 해커, 정부가 지원하는 해킹 그룹 등 다양한 소스로부터 일어날 수 있습니다. DDoS 공격은 사용자 또는 관리자도 모르는 사이에 감염 및 조종되는 컴퓨터 부대, 즉 "봇넷"의 전력 증강 이점을 활용하여 공격 트래픽을 생성하는 경우가 많습니다.

DDoS 완화

날로 증가하는 DDoS 공격의 횟수와 규모를 고려하면, DDoS 공격 탐지 및 완화를 계획하는 일은 IT 관련 업무 중 아주 중요한 편에 속합니다. 대규모 DDoS 공격에 대응할 수 있을 정도로 방대한 규모의 인프라를 구축하는 일은 사실상 불가능하므로, 모든 업계의 웹 자산 소유자들이 Akamai의 Kona Site Defender와 같은 솔루션을 배포하는 추세에 있습니다. Kona Site Defender와 같은 클라우드 기반 솔루션은 내재된 확장성과 전 세계를 아우르는 포괄성을 바탕으로 흔한 DDoS 유형 중 대부분은 물론 웹 애플리케이션에 대한 공격(SQL 삽입, XSS(Cross-Site Scripting) 등) 및 원본 서버를 직접 겨냥한 공격 등을 차단합니다.

Kona Site Defender가 DDoS를 차단하는 방법

DDoS 공격을 차단하기 위해 Kona Site Defender는 애플리케이션 계층을 대상으로 하는 DDoS 트래픽을 흡수하고, SYN Flood 또는 UDP Flood와 같이 네트워크 계층을 대상으로 하는 DDoS 트래픽을 차단하며, 네트워크 경계에서 유효한 트래픽의 인증을 수행합니다. 내장된 이 보호 기능은 상시 가동 상태로 유지되며 포트 80(HTTP) 또는 포트 443(HTTPS) 트래픽만을 허용합니다. 초과 사용 요금에 상한선을 두어 DDoS 트래픽으로 인한 서비스 요금 과다 지출로부터 사용자를 보호하며 유연한 캐싱은 원본 서버로부터의 오프로드를 최대화해 줍니다.

추가적인 보호를 위해 여러 기업에서는 서비스 거부 공격으로 도메인 네임 서버에 과부하가 걸리고 피해를 입는 일을 방지해 주는 Akamai의 Fast DNS 솔루션 같은 방어 계층을 추가합니다. 이 두 가지 솔루션은 100여 개국에서 1,300개 이상의 네트워크에 걸쳐 배치된 175,000대 이상의 서버로 구성되는 Akamai Intelligent Platform™의 성능을 활용합니다.

DDoS 공격 트래픽 차단에 도움이 되는 Akamai의 전 세계적 규모

전 세계적으로 배포되고 규모가 방대한 Akamai Intelligent Platform™은 트래픽 재라우팅 및 성능에 미치는 영향 없이 웹사이트 가용성이 일정하게 유지되도록 하기 위해 설계되었습니다. Akamai는 매일 평균 5.5Tbps의 트래픽을 처리하며 8Tbps을 넘는 최대 트래픽까지 처리한 바 있습니다. 또한 DDoS 완화 기능이 경로 상에 기본적으로 구현되므로 보호 기능이 고객 원본 서버까지 액세스하지 않으며, 요청 지점으로부터 단 한 번의 네트워크 홉이면 액세스할 수 있습니다.

DDoS 방어에 대해 자세히 알아보십시오.