애플리케이션 계층 DDoS 공격은 인터넷의 애플리케이션 계층을 대상으로 하여 웹 사이트 또는 서비스에 대한 정상적인 트래픽 흐름을 방해합니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
글 링크 복사
애플리케이션 계층 공격 또는 계층 7(L7) DDoS 공격은 HTTP GET 및 HTTP POST와 같은 일반적인 인터넷 요청이 발생하는 OSI 모델의 "최상위" 계층을 대상으로 하도록 설계된 악의적 행위 유형을 나타냅니다.이러한 계층 7 공격은 DNS 증폭과 같은 네트워크 계층 공격과 달리 네트워크 리소스와 함께 서버 리소스를 소비하므로 특히 효과적입니다.
대부분의 DDoS 공격의 근본적인 효율성은 공격을 시작하는 데 필요한 리소스의 양과 공격을 흡수하거나 완화하는 데 필요한 리소스의 양 간의 차이에서 비롯됩니다. 이는 L7 공격의 경우에도 여전히 해당되지만, 대상 서버와 네트워크 모두에 효율적으로 영향을 미치므로 동일한 파괴 효과를 달성하기 위해 총 대역폭이 덜 필요합니다. 애플리케이션 계층 공격은 더 적은 총 대역폭으로 더 많은 피해를 줍니다.
왜 그런 것인지 이유를 알아보기 위해, 요청을 보내는 클라이언트와 요청에 응답하는 서버 간의 상대적인 리소스 소비의 차이를 살펴보겠습니다. 사용자가 Gmail 계정과 같은 온라인 계정에 로그인 요청을 보낼 때 사용자의 컴퓨터가 사용해야 하는 데이터 및 리소스의 양이 최소이며 로그인 자격 증명을 확인하고 해당 사용자를 로드하는 과정에서 소모되는 리소스의 양에 비례하지 않습니다. 데이터베이스에서 데이터를 가져온 다음, 요청을 받은 웹 페이지가 포함된 응답을 다시 보냅니다.
로그인이 없는 경우에도 클라이언트로부터 요청을 받는 서버는 웹 페이지를 생성하기 위해 데이터베이스 쿼리 또는 기타 API 호출을 수행해야 하는 경우가 많습니다.봇넷 공격 시와 같이 많은 장치에서 단일 웹 자산을 대상으로 함에 따라 이러한 격차가 확대되면, 그 효과가 대상 서버를 압도하여 합법적인 트래픽에 대한 서비스 거부로 이어질 수 있습니다.많은 경우 단순히 L7 공격으로 API를 대상으로 하는 것만으로도 서비스를 오프라인으로 전환하기에 충분합니다.
공격 트래픽과 일반 트래픽을 구별하는 것은 어렵습니다. 특히 피해자의 서버에 대해 HTTP 폭주 공격을 수행하는 봇넷과 같은 애플리케이션 계층 공격의 경우에는 더욱 어렵습니다. 봇넷의 각 봇은 겉보기에는 합법적인 네트워크 요청을 하므로 트래픽이 스푸핑되지 않고 원래 "정상"으로 나타날 수 있습니다.
애플리케이션 계층 공격에는 정기적으로 변동할 수 있는 특정 규칙 집합을 기반으로 트래픽을 제한하는 기능을 포함하는 적응형 전략이 필요합니다.적절하게 구성된 WAF와 같은 도구는 원본 서버로 전달되는 가짜 트래픽의 양을 완화하여 DDoS 시도의 영향을 크게 줄일 수 있습니다.
SYN 플러드와 같은 다른 공격 또는 NTP 증폭과 같은 반사 공격의 경우 네트워크 자체에 트래픽을 수신할 수 있는 대역폭이 있는 경우 트래픽을 상당히 효율적으로 삭제하는 전략을 사용할 수 있습니다.불행히도 대부분의 네트워크는 300Gbps 증폭 공격을 감당할 수 없으며, L7 공격이 생성할 수 있는 애플리케이션 계층 요청의 양을 적절하게 라우팅하고 처리할 수 있는 네트워크의 숫자는 훨씬 더 적습니다.
한 가지 방법은 봇인지 여부를 테스트하기 위해 네트워크를 요청하는 장치에 챌린지를 구현하는 것입니다.이것은 온라인에서 계정을 만들 때 흔히 볼 수 있는 캡차 테스트와 유사한 테스트를 통해 수행됩니다.JavaScript 계산 문제와 같은 요구 사항을 제공함으로써 많은 공격을 완화할 수 있습니다.
HTTP 폭주를 차단하기 위한 다른 방법으로는 웹 애플리케이션 방화벽 사용, IP Reputation 데이터베이스를 통한 트래픽 관리 및 필터링, 엔지니어의 즉각적인 네트워크 분석이 있습니다.
네트워크에서 수백만 명의 사용자와 함께 확장할 수 있는 이점이 있는 Cloudflare는 다양한 소스의 트래픽을 분석하고 지속적으로 업데이트되는 WAF 규칙 및 기타 완화 전략으로 잠재적 공격을 완화할 수 있습니다. .Cloudflare의 DDoS 고급 보호 서비스를 알아보세요.