DDoS 공격에 대응

성능과 가용성을 유지하기 위한 DDoS 공격의 무제한 완화

DDoS(분산 서비스 거부) 공격의 빈도와 강도가 증가하고 있습니다. 안전하지 않은 수백만 IoT(사물 인터넷) 기기를 악용하여 고도로 분산된 볼류메트릭 공격을 벌이는 봇넷을 만드는 것이 이전보다 더 쉽고 그 영향력은 더 커졌습니다. 공격 볼륨이 더 클뿐만 아니라 작업도 네트워크 및 전송 계층에서 애플리케이션 계층(계층 7)으로 이동하고 있습니다. 애플리케이션 계층 공격은 더 적은 리소스로도 웹 사이트나 애플리케이션을 중단시킬 수 있는 경우가 많을 정도로 훨씬 더 정교하며 더 큰 영향을 가해 작업을 방해할 수 있습니다.

DDoS 공격은 웹 사이트 및 애플리케이션 성능과 가용성을 저하시키고 때로는 완전히 오프라인 상태로 만들어 정상적인 비즈니스 운영을 방해합니다. 인프라 장애로 인한 가동 중지 시간의 손해액은 시간당 평균 $100,000입니다. 이런 종류의 공격은 고객 이탈, 브랜드 악화 및 사업 손실로 이어질 수 있습니다.

웹 사이트 및 애플리케이션에는 가장 크고 새로운 공격에 대처하기 위한 확장 가능한 네트워크의 복원력과 인텔리전스가 필요합니다. 위협에 대응하더라도 보안으로 인한 대기 시간 때문에 성능이 저하되어서는 안 되며 보안 서비스는 쉽게 구성할 수 있어야 새로운 취약성을 가져올 수 있는 잘못된 구성을 제거할 수 있습니다.

Defend against the largest ddos attack icon

가장 큰 공격 방어

Cloudflare의 네트워크 용량은 역대 최대 DDoS 공격보다 15x 더 큽니다. 20 Tbps 용량으로 Cloudflare는 DNS 인프라를 겨냥하는 공격을 포함한 모든 최신 분산 공격을 처리할 수 있습니다.

Shared Network Intelligence icon

공유 네트워크 인텔리전스

새로운 모든 속성으로 Cloudflare 네트워크는 점점 더 스마트해집니다. Cloudflare의 IP 평판 데이터베이스는 네트워크의 7백만 개가 넘는 속성에서 새롭게 진화하는 위협을 식별하고 차단합니다.

No Performance Tradeoffs icon

성능 저하 없음

CDN, 스마트 라우팅, 웹 사이트 최적화, 최신 웹 표준을 포함한 성능 서비스를 갖춘 Cloudflare와 통합하여 보안으로 인한 대기 시간을 없애세요.

DDoS 공격의 일반적인 유형

ddos attack dns flood

DNS 플러드

DNS 확인을 방해함으로써 DNS 플러드 공격은 웹 사이트, API 또는 웹 애플리케이션을 제대로 작동하지 않거나 완전히 사용할 수 없게 만듭니다.

ddos attacked with dns flood

UDP 증폭(계층 3 및 4)

공격자는 개방형 DNS 또는 NTP 확인자의 기능을 이용하여 증폭된 요청 트래픽으로 대상 서버 또는 네트워크를 압도합니다. 다시 말해 원본 요청보다 페이로드 크기가 더 큽니다.

ddos attacked http flood

HTTP 플러드(계층 7)

HTTP 플러드 공격은 여러 출처에서 애플리케이션 계층을 대상으로 하는 많은 양의 HTTP, GET 또는 POST 요청을 생성하여 서비스를 저하시키고 사용할 수 없게 만듭니다.

ddos attack http flood

계층화된 보안 방어

Cloudflare의 계층화된 보안 방법은 여러 보안 기능을 하나의 서비스로 결합합니다. 악성 트래픽으로 인한 중단을 방지하고 정상 트래픽을 허용하여 웹 사이트, 애플리케이션 및 API를 많은 곳에서 사용할 수 있고 성능이 유지되도록 합니다.

Layered DDoS attack Protection Layered DDoS Protection

주요 결과

226,500,000

2015년 8월부터 2016년 11월 사이에 차단된 공격 수입니다. 매일 500,000개의 공격이 발생했지만 모두 실패했습니다.

95%

월 대역폭의 총 95%가 절감되었습니다.

$250,000

사례 연구 읽어보기

"Cloudflare를 통해 우리는 다른 후보자들이 지급하는 비용의 일부로 Trump 대통령 선거운동 사이트를 운영하면서 필요한 보호 및 보안을 제공할 수 있었습니다."

Brad Parscale

Giles-Parscale 사장

Trump 대통령 선거운동 디지털 국장

정액 요금제

모든 Cloudflare 요금제는 DDoS(분산 서비스 거부) 공격에 대해 규모에 관계없이 추가 비용 부담이 없는 무제한 완화를 제공합니다. 어떤 고객도 분산 공격과 관련된 네트워크 트래픽의 급증에 따른 비용을 부담해서는 안 됩니다. Cloudflare DDoS 방어를 사용하면 모든 인터넷 기기가 온라인 상태로 유지되고 인프라 비용을 예측할 수 있습니다.

Flat price DDOS protection

기록 공격 완화

Cloudflare 엔지니어들은 역사적으로 공개된 가장 큰 공격의 일부를 목격했습니다. 이런 공격을 처리하는 방법을 개발자 블로그에서 알아보세요.

400Gbps: 대규모 계층 3 DDoS 공격의 겨울

2016년 겨울, Cloudflare는 당시까지 가장 큰 규모의 계층 3 분산 공격을 완화했습니다. 공격을 중지시켰을 뿐 아니라 정확하게 측정 및 분석했습니다. 더 읽어보기

400Gbps NTP 증폭 공격에 대한 숨겨진 세부 사항

분산 공격은 모든 모양과 형태를 갖고 있습니다. 이 400Gbps 증폭 공격에서 공격자는 공격을 증폭하는 데 4,529개의 NTP 서버를 사용했는데 이 공격은 단지 87Mbps 속도의 원본 서버에서 시작되었습니다. 더 읽어보기

인터넷을 거의 마비시킨 DDoS 공격

Cloudflare는 7년 이상 역사적 분산 공격에 대응했습니다. 2013년에 Spamhaus에 대한 120Gbs는 큰 공격으로 간주되었고 Cloudflare는 웹 사이트를 온라인으로 유지할 수 있었습니다. 더 읽어보기

더 많은 Cloudflare 보안 솔루션

prevent customer data breach diagram

고객 데이터 침해 방지

공격자가 사용자 자격 증명, 신용 카드 정보, 기타 개인 식별 정보 같은 중요한 고객 데이터를 손상시키지 못하도록 합니다.

block malicious bot abuse diagram

악의적인 봇 남용 차단

악의적인 봇이 콘텐츠 스크랩, 사기성 결제, 계정 탈취를 통해 인터넷 기기를 손상시키지 못하도록 합니다.

10,000,000 이상의 도메인을 통해 신뢰

Cloudflare 기능

Cloudflare의 성능 및 보안 서비스 작업은 함께 실행되면서 웹 사이트, 모바일 애플리케이션 및 API 엔드 투 엔드의 대기 시간을 줄이는 동시에 DDoS 공격, 악성 봇 및 데이터 침해를 방지합니다.

성능

Cloudflare 성능 서비스는 전환을 향상시키고, 이탈을 줄이고, 웹 및 모바일 성능 가속화로 방문자 환경을 개선하면서 애플리케이션의 가용성을 유지할 수 있습니다.

  • CDN(콘텐츠 전송 네트워크)

    74개 국가에 위치한 154개 데이터 센터를 통해 Cloudflare의 Anycast CDN은 에지에서 정적 콘텐츠를 캐시하여 자산을 방문자에게 지리적으로 가능한 한 가까이 전송하는 방식으로 대기 시간을 줄입니다.
  • 웹 사이트 최적화

    Cloudflare는 인터넷 콘텐츠의 성능을 개선하기 위한 웹 최적화 제품군을 포함합니다. 최적화에는 HTTP/2 및 TLS 1.3같은 최신 웹 표준과 이미지 및 모바일 기기 방문자를 위한 중요한 개선 사항이 포함됩니다.
  • DNS

    Cloudflare는 전 세계에서 가장 빠른 관리 DNS 공급자로서 모든 글로벌 DNS 트래픽의 39% 이상을 라우팅합니다. Cloudflare를 통해 다양한 방법으로 온라인 자산에 대한 최대 성능을 확보할 수 있습니다.
  • 부하 분산

    Cloudflare 부하 분산은 단일 하이브리드 클라우드 및 다중 클라우드 환경에 대한 부하 분산, 지리적 조정, 모니터링 및 장애 조치(failover)를 제공하여 성능과 가용성을 개선합니다.
  • Argo Smart Routing

    Argo Smart Routing은 Cloudflare의 사설망을 사용하여 가장 막힘없고 안정적인 경로로 방문자를 라우팅하여 인터넷 콘텐츠 성능을 평균 35% 개선합니다.
  • Railgun

    Railgun은 고품질 비디오 압축 기술과 유사한 기술을 이용하여 이전에 캐시할 수 없던 웹 개체를 최대 99.6%까지 압축합니다. 이 덕분에 성능이 추가적으로 평균 200% 향상됩니다.
  • 스트림

    Cloudflare 스트림은 데이터 저장소, 미디어 인코딩, 콘텐츠 포함 및 재생, 지역 전송 및 분석을 처리하여 스트리밍 비디오를 쉽게 만듭니다.
  • 작업자

    Cloudflare 작업자는 개발자가 전 세계 Cloudflare의 154개 데이터 센터에서 JavaScript 서비스 작업자를 실행할 수 있게 합니다.
  • 모바일 SDK

    Cloudflare의 모바일 SDK는 글로벌 이동 통신 사업자 네트워크를 통해 애플리케이션 성능 및 부하 시간에 대한 가시성을 제공합니다.

보안

Cloudflare 보안 서비스를 사용하면 DDoS 공격, 악성 봇, 데이터 침해를 방지하여 고객 이탈, 수익 저하 및 브랜드 이미지 추락의 위험을 줄일 수 있습니다.

  • Anycast 네트워크

    74개 국가의 154개 데이터 센터와 20 Tbps 용량을 통해 Cloudflare의 Anycast 네트워크는 지리적 분산 방식으로 분산 공격 트래픽을 흡수하여 인터넷 기기의 가용성과 성능을 유지합니다.
  • DNSSEC

    DNSSEC는 인터넷의 스푸핑할 수 없는 호출자 ID입니다. 웹 애플리케이션의 트래픽이 올바른 서버로 안전하게 라우팅되도록 보장하므로 사이트 방문자가 숨겨진 "메시지 가로채기(man-in-the-middle)” 공격자의 공격을 받지 않습니다.
  • WAF(웹 애플리케이션 방화벽)

    Cloudflare의 엔터프라이즈급 WAF(웹 애플리케이션 방화벽)는 OWASP 상위 10개, 애플리케이션별 및 사용자 지정 규칙 집합을 이용하여 네트워크 에지에서 일반적인 애플리케이션 계층 취약성을 감지하고 차단합니다.
  • Rate Limiting

    Rate Limiting은 요청 속도에 문제가 있는 것으로 보이는 방문자를 차단하거나 자격을 확인하는 세부적인 제어를 제공하여 중요한 리소스를 보호합니다.
  • SSL/TLS

    TLS(전송 계층 보안) 암호화를 통해 방문자와 원본 서버 간 HTTPS 연결을 구현하여 메시지 가로채기(man-in-the-middle) 공격, 패킷 스니핑, 웹 브라우저 신뢰 경고 표시 등을 방지합니다.
  • 등록 기관 보호

    Cloudflare는 ICANN 인증 등록 기관으로서, 등록 기관 계정 변경에 대한 하이 터치, 온라인 및 오프라인 확인을 통해 도메인 하이재킹으로부터 조직을 보호합니다.
  • Orbit

    Cloudflare Orbit는 네트워크 수준에서 사물 인터넷 기기에 대한 보안 관련 문제를 해결합니다.
  • Argo Tunnel

    Cloudflare는 공용 인바운드 포트를 열지 않고 가장 가까운 데이터 센터와 애플리케이션의 원본 서버 간에 암호화된 터널을 만듭니다.
  • 작업자

    Cloudflare 작업자는 개발자가 전 세계 Cloudflare의 154개 데이터 센터에서 JavaScript 서비스 작업자를 실행할 수 있게 합니다.
  • 액세스

    Cloudflare의 모든 도메인, 애플리케이션 또는 경로에 대한 사용자 액세스를 보호, 인증 및 모니터링합니다.
  • Spectrum

    Spectrum은 Cloudflare의 Anycast 네트워크를 통해 웹 이외의 트래픽을 프록시하여 볼류메트릭 DDoS 공격과 데이터 도난으로부터 TCP 애플리케이션 및 포트를 보호합니다.

모든 공격으로부터 보호

Cloudflare는 모든 네트워크 트래픽에 대한 프록시로 제공되므로 다음을 모두 포함하여 모든 종류의 분산 서비스 거부 공격을 방지할 수 있습니다.

계층 3/4

대부분의 공격은 통신 시스템의 전송 및 네트워크 계층을 겨냥합니다. 이러한 계층은 OSI 모델의 계층 3 및 4로 표현됩니다. 네트워크 스택의 '전송' 계층은 한 네트워크의 두 호스트가 서로 통신하는 데 사용하는 프로토콜(예: TCP 또는 UDP)을 지정합니다. 계층 3 및 4를 목표로 한 공격은 리소스를 과부하시키고 적법한 트래픽에 응답하지 못하고 거부하게 만들기 위해 네트워크 인터페이스가 공격 트래픽으로 넘쳐나도록 설계됩니다. 더 정확하게 말하자면 이 공격의 본질은 네트워크 스위치의 성능을 포화시키거나 공격 트래픽을 처리하는 서버의 네트워크 카드나 CPU의 성능을 과부하 상태로 만드는 것입니다.

계층 3 및 4 공격은 온-프레미스 솔루션으로 완화하기 불가능하거나, 가능하더라도 어렵습니다. 공격자가 네트워크 링크에서 처리할 수 있는 것보다 더 많은 트래픽을 보낼 수 있는 경우, 추가적인 하드웨어 리소스가 아무리 많아도 이러한 공격을 완화하는 데에는 도움이 되지 않습니다. 예를 들어 10Gbps 포트를 갖춘 라우터가 있는데 공격자가 11Gbps 공격 트래픽을 전송하면 지능형 소프트웨어 또는 하드웨어가 아무리 많더라도 네트워크 링크가 완전히 포화되면 공격을 중지시킬 수 없습니다.

대규모의 계층 3/4 공격은 거의 항상 많은 출처에서 시작됩니다. 이러한 다수의 출처는 각각 공격 트래픽을 단일 인터넷 위치에 보내 대상의 리소스를 압도하는 해일을 만듭니다. 공격이 분산된다고 하는 것은 이런 의미입니다. 함께 작업하는 사람들 한 그룹, 손상된 PC나 서버로 이루어진 봇넷, 잘못 구성된 DNS 확인자, 심지어는 암호가 약한 가정 인터넷 라우터도 공격 트래픽의 출처가 될 수 있습니다.

계층 3/4 공격을 시작하는 공격자는 자신이 보낸 요청에 대한 응답을 받는 데 관심이 없으므로 공격을 구성하는 패킷은 정확하거나 올바르게 형식이 지정될 필요가 없습니다. 공격자는 원본 IP를 포함하여 공격 패킷의 모든 정보를 정기적으로 스푸핑하여 공격이 사실상 무한한 출처에서 오는 것처럼 보이도록 합니다. 패킷 데이터는 완전히 무작위로 선택될 수 있으므로 업스트림 IP 필터링 같은 방법도 사실상 쓸모없게 됩니다.

Cloudflare를 사용하면 서버 인프라를 직접 공격할 수 있는 모든 공격 트래픽이 데이터 센터로 이루어진 Cloudflare의 글로벌 Anycast 네트워크로 자동으로 라우팅됩니다. 공격 트래픽이 이동하면 Cloudflare는 대규모의 네트워크 글로벌 용량 및 대규모 서버 인프라를 이용하여 네트워크 에지에서 공격 트래픽 범람을 흡수할 수 있습니다. 즉, Cloudflare는 보호되는 사이트에 기존 계층 3/4 공격의 단일 트래픽 패킷도 도달하지 못하게 할 수 있습니다.

DNS 증폭 공격

DRDoS의 한 형태인 DNS 증폭 공격이 증가하고 있으며 계층 3/4 공격의 최대 출처가 되었습니다. Cloudflare는 정기적으로 100Gpbs를 초과하는 공격을 완화하며 최근에는 300Gbps를 초과한 공격으로부터 고객을 보호했습니다. New York Times에서는 이 공격을 "인터넷 역사상 공개적으로 발표된 최대 DDoS 공격"이라고 말했습니다.

DNS Reflection 공격에서 공격자는 원본 IP 주소를 목표 피해자의 IP 주소로 스푸핑하여 큰 DNS 영역 파일에 대한 요청을 많은 개방형 DNS 확인자에게 보냅니다. 그러면 확인자는 요청에 응답하여 큰 DNS 영역 응답을 목표 희생자의 IP 주소에 보냅니다. 공격자의 요청 자체는 응답 크기의 일부일 뿐이므로 공격자는 직접 제어하는 대역폭 리소스 크기의 몇 배로 공격을 증폭할 수 있습니다.

Cloudflare 없는 DNS Reflection 공격

공격자는 봇넷 또는 보안되지 않은 DNS 확인자 같은 리소스를 수집하고 대상 IP 주소를 모방합니다. 그러면 리소스는 대상에게 대량의 응답을 보내 오프라인 상태로 만듭니다.

Unprotected DNS reflection attack

Cloudflare 없는 DNS Reflection 공격

공격자는 봇넷 또는 보안되지 않은 DNS 확인자 같은 리소스를 수집하고 대상 IP 주소를 모방합니다. 그러면 리소스는 대상에게 대량의 응답을 보내지만 Clouldflare의 데이터 센터에 의해 지역적으로 차단됩니다. 적법한 트래픽은 계속 웹 기기에 액세스할 수 있습니다.

DNS reflection attack protection

증폭 공격의 두 가지 기준은 다음과 같습니다. 1) 스푸핑된 원본 주소를 사용하여(예: 핸드셰이크가 필요하지 않은 ICMP 또는 UDP 같은 프로토콜을 통해) 쿼리를 전송할 수 있습니다. 2) 쿼리에 대한 응답이 쿼리 자체보다 훨씬 더 큽니다. DNS는 이러한 기준을 충족하는 핵심 유비쿼터스 인터넷 플랫폼이기 때문에 증폭 공격의 가장 큰 출처가 되었습니다.

DNS 쿼리는 일반적으로 UDP를 통해 전송됩니다. 즉, 아래 설명된 SMURF 공격에 사용되는 ICMP 쿼리처럼 DNS 쿼리는 자체 유도(fire-and-forget)됩니다. 따라서 DNS 쿼리의 원본 특성이 스푸핑될 수 있고 수신자는 응답하기 전에 진위성을 판별할 방법이 없습니다. DNS는 또한 쿼리보다 훨씬 더 큰 응답을 생성할 수도 있습니다. 예를 들어 다음 (작은) 쿼리를 보낼 수 있습니다(여기서 x.x.x.x는 개방형 DNS 확인자의 IP).

dig ANY isc.org @x.x.x.x +edns=0

그리고 다음과 같은 엄청난 응답이 반환됩니다.

; <<>> DiG 9.7.3 <<>> ANY isc.org @x.x.x.x
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5147
;; flags: qr rd ra; QUERY: 1, ANSWER: 27, AUTHORITY: 4, ADDITIONAL: 5
;; QUESTION SECTION:
;isc.org. IN ANY
;; ANSWER SECTION:
isc.org. 4084 IN SOA ns-int.isc.org. hostmaster.isc.org. 2012102700 7200 3600 24796800 3600
isc.org. 4084 IN A 149.20.64.42
isc.org. 4084 IN MX 10 mx.pao1.isc.org.
isc.org. 4084 IN MX 10 mx.ams1.isc.org.
isc.org. 4084 IN TXT "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 4084 IN TXT "$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"
isc.org. 4084 IN AAAA 2001:4f8:0:2::d
isc.org. 4084 IN NAPTR 20 0 "S" "SIP+D2U" "" _sip._udp.isc.org.
isc.org. 484 IN NSEC _kerberos.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF
isc.org. 4084 IN DNSKEY 256 3 5 BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJ aXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssy q8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6Hw jU1qzveSsW0=
isc.org. 4084 IN DNSKEY 257 3 5 BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+ u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB yBNsO70aEFTd
isc.org. 4084 IN SPF "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 484 IN RRSIG NS 5 2 7200 20121125230752 20121026230752 4442 isc.org. oFeNy69Pn+/JnnltGPUZQnYzo1YGglMhS/SZKnlgyMbz+tT2r/2v+X1j AkUl9GRW9JAZU+x0oEj5oNAkRiQqK+D6DC+PGdM2/JHa0X41LnMIE2NX UHDAKMmbqk529fUy3MvA/ZwR9FXurcfYQ5fnpEEaawNS0bKxomw48dcp Aco=
isc.org. 484 IN RRSIG SOA 5 2 7200 20121125230752 20121026230752 4442 isc.org. S+DLHzE/8WQbnSl70geMYoKvGlIuKARVlxmssce+MX6DO/J1xdK9xGac XCuAhRpTMKElKq2dIhKp8vnS2e+JTZLrGl4q/bnrrmhQ9eBS7IFmrQ6s 0cKEEyuijumOPlKCCN9QX7ds4siiTIrEOGhCaamEgRJqVxqCsg1dBUrR hKk=
isc.org. 484 IN RRSIG MX 5 2 7200 20121125230752 20121026230752 4442 isc.org. VFqFWRPyulIT8VsIdXKMpMRJTYpdggoGgOjKJzKJs/6ZrxmbJtmAxgEu /rkwD6Q9JwsUCepNC74EYxzXFvDaNnKp/Qdmt2139h/xoZsw0JVA4Z+b zNQ3kNiDjdV6zl6ELtCVDqj3SiWDZhYB/CR9pNno1FAF2joIjYSwiwbS Lcw=
isc.org. 484 IN RRSIG TXT 5 2 7200 20121125230752 20121026230752 4442 isc.org. Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeI JRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9 k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deR UhA=
isc.org. 484 IN RRSIG AAAA 5 2 7200 20121125230752 20121026230752 4442 isc.org. hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9 /rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rF wg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA 8Y4=
isc.org. 484 IN RRSIG NAPTR 5 2 7200 20121125230752 20121026230752 4442 isc.org. ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU 3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4 XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw 5i4=
isc.org. 484 IN RRSIG NSEC 5 2 3600 20121125230752 20121026230752 4442 isc.org. rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jb MwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcr Pi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQs FHY=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 4442 isc.org. i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUd BK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+AC L2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiw h0A=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 12892 isc.org. j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyj fN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MH qAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1S nlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqF JGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0N ch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/F DRdXjA==
isc.org. 484 IN RRSIG SPF 5 2 7200 20121125230752 20121026230752 4442 isc.org. IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyD ZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r3 9HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhC kak=
isc.org. 484 IN RRSIG A 5 2 7200 20121125230752 20121026230752 4442 isc.org. ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzq Ul3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1 hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp 8+E=
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; AUTHORITY SECTION:
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; ADDITIONAL SECTION:
mx.ams1.isc.org. 484 IN A 199.6.1.65
mx.ams1.isc.org. 484 IN AAAA 2001:500:60::65
mx.pao1.isc.org. 484 IN A 149.20.64.53
mx.pao1.isc.org. 484 IN AAAA 2001:4f8:0:2::2b
_sip._udp.isc.org. 4084 IN SRV 0 1 5060 asterisk.isc.org.
;; Query time: 176 msec
;; SERVER: x.x.x.x#53(x.x.x.x)
;; WHEN: Tue Oct 30 01:14:32 2012
;; MSG SIZE rcvd: 3223

64바이트 쿼리가 3,223바이트로 이어집니다. 즉, 공격자는 시작할 수 있는 트래픽의 크기에 관계없이 개방형 DNS 확인자에게 50배에 달하는 증폭 공격을 가할 수 있습니다.

Cloudflare의 'Anycast' 네트워크는 대량의 계층 3/4 공격을 중지하도록 특별히 설계되었습니다. Anycast를 사용하면 전 세계 154개의 각 데이터 센터에서 동일한 IP 주소를 알릴 수 있습니다. 네트워크 자체에서는 요청을 가장 가까운 시설로 부하 분산합니다. 일반적인 상황에서 이 기능은 사이트 방문자가 네트워크에서 가장 가까운 데이터 센터로 자동으로 라우팅되도록 도와주므로 최고 성능이 보장됩니다. 공격이 있는 경우 Anycast는 공격 트래픽을 전체 데이터 센터 네트워크에서 효과적으로 분산 및 약화하기 위한 작업을 수행합니다. 모든 데이터 센터가 Cloudflare 고객에 대해 동일한 IP 주소를 알리기 때문에 트래픽이 한 곳으로 전달될 수는 없습니다. 공격이 다대일 방식으로 처리되는 대신 네트워크에서 단일 실패 지점이 없는 다대다 방식으로 처리됩니다.

계층 7 공격

새로운 유형의 공격은 OSI 모델의 계층 7, '애플리케이션' 계층을 겨냥합니다. 이러한 공격은 병목 현상을 만드는 웹 애플리케이션의 특정 특징에 초점을 맞춥니다. 예를 들어 일명 느린 읽기 공격은 여러 연결에 걸쳐 패킷을 느리게 전송합니다. Apache는 각 연결에 대해 새 연결을 열고 트래픽이 전송되는 동안 연결이 유지되므로 공격자는 스레드 풀을 비교적 빠르게 소모해서 웹 서버를 압도할 수 있습니다.

Cloudflare는 이러한 공격 중 대부분에 대응할 수 있으며 실제 환경에서는 일반적으로 HTTP 공격 트래픽을 90%정도 줄입니다. 대부분의 공격이나 고객의 경우 온라인 상태를 유지하는 데는 이정도면 충분합니다. 그러나 기존의 보호책을 통과하는 10%의 트래픽은 리소스가 제한되어 있거나 매우 큰 공격에 직면한 고객에게는 대응하기 힘들 수 있습니다. 이러한 경우에 대비하여, Cloudflare는 IUAM(“I’m Under Attack”) 모드라는 보안 설정을 제공합니다.

IUAM은 공격을 받고 있을 때 사이트에 대해 설정할 수 있는 보안 수준입니다. IUAM을 켜면 Cloudflare가 악의적인 HTTP 트래픽이 서버로 전달되지 않도록 중지하기 위한 추가 보호 계층을 추가합니다. 백그라운드에서 여러 번의 추가 확인을 수행하는 동시에 확인이 완료되는 5초동안 중간 페이지가 사이트 방문자에게 제공됩니다. 테스트를 자동적인 과정이며 방문자가 CAPTCHA를 입력할 필요가 없는 인증 질문이라고 생각하세요.

Layer 7 attack protection

자동화된 테스트를 통해 적법한 것으로 확인되면 방문자는 방해받지 않고 사이트를 탐색할 수 있습니다. 테스트 및 테스트에 제대로 통과했다는 사실을 기록하는 데에는 JavaScript와 쿠키가 필요합니다. IUAM 상태일 때 방문자가 볼 수 있는 페이지는 브랜딩을 반영하도록 사용자 지정될 수 있습니다. I’m Under Attack 모드는 검색 엔진 크롤러 또는 기존 Cloudflare 허용 목록을 차단하지 않습니다.

SMURF 공격

최초의 증폭 공격 중 하나는 SMURF 공격이라고 알려져 있습니다. SMURF 공격에서 공격자는 라우터에 연결된 모든 기기에 ICMP를 릴레이하도록 구성된 라우터에서 전달된 네트워크 브로드캐스트 주소(예: X.X.X.255)에 ICMP 요청(예: ping 요청)을 보냅니다. 그런 다음 공격자는 ICMP 요청의 출처를 목표 피해자의 IP 주소로 스푸핑합니다. ICMP에는 핸드셰이크가 포함되지 않기 때문에 대상은 원본 IP가 적법한지 확인할 방법이 없습니다. 라우터는 요청을 수신하여 라우터에 연결된 모든 기기에 전달합니다. 이러한 각 기기는 ping에 다시 응답합니다. 공격자는 라우터에 연결된 기기 수만큼 공격을 증폭할 수 있습니다(예: 라우터에 5개의 기기가 연결된 경우 공격자가 공격을 5배 증폭할 수 있음, 아래 다이어그램 참조).

DNS Smurf attack

SMURF 공격은 대체로 오래 전 일입니다. 대부분의 경우 네트워크 사업자는 라우터를 네트워크의 브로드캐스트 주소로 전송된 ICMP 요청 릴레이를 비활성화되도록 구성합니다.