IT 그리고 정보보안/보안관제와 장비운영

DDoS 방어 솔루션 (Anti-DDoS)

plummmm 2021. 4. 19. 08:01
반응형

디도스 공격을 방어하는 DDoS 방어 솔루션 (Anti-DDoS)에 대해 알아보자.

이름 그대로 DDOS를 방어하는 장비다.

보통 방화벽을 기준으로 외부망/내부망을 구분하는데,  Anti-DDoS 장비는 방화벽 외부에 위치한다.

DDOS막는 거니까 당연히 외부망에서 트래픽 차단함 

Anti-DDoS 장비 외부에 있는 엄한 장비가 부하를 받아 가용성 특이사항이 생길 수 있으므로

 

보통 DDOS 장비는 기본적으로 임계치를 기반으로 하여 DDOS를 방어한다.

임계치가 넘으면 현재 맺고 있는 세션 사용자 외에 추가로 들어오는 패킷들은 전부 NULL Routing 한다.

이벤트 행사 등으로 DDOS가 아닌데 트래픽이 임계치를 초과할 경우는 탐지모드로 바꾸어 운영한다. 

 

DOS는 출발지 기준으로 판별한다. 통상적으로 출발지 기준의 가장 큰 트래픽을 임계치로,

DDOS는 목적지 기준으로 판별한다. 목적지에서 받은 총 트래픽을 기준으로 임계치 잡음 

 

이 임계치는 일정한 값으로 정해줄 수가 없다. 

서버마다 기본 유입량도 다르고,  여러가지 고려해야할 사항들이 많기 때문에

그래서 보통 임계치를 잡기위해 학습을 한다.

 

통상적으로 3차까지 학습하는데, 학습할 때 잡는 기준은 케이스마다 다르다.  

 

예를 하나 들어보자.

[임계치 학습의 예시]

- 1차 : 기존 트래픽의 5배수 

- 2차 : 기존 트래픽의 3배수 

- 3차 : 기존 트래픽의 1.5배수

 

학습기간 중에 만약 공격을 받으면 그 동안 학습한 값은 쓰레기 값이 된다. 

그래서 일정 기간을 정해두고 끊어서 학습함

반응형