서비스 거부 공격

본 글의 내용은 AWS Cloud Practitioner Essentials (Korean)에서 발췌함

 

고객은 커피숍에 전화를 걸어 주문할 수 있다.

캐셔는 전화로 받은 주문을 바리스타에게 전달한다.

 

그런데 한 진상 손님이 여러 번 전화를 걸어 주문을 하고 한 번도 픽업하러 오지 않는다고 가정한다.

이 때문에 캐셔는 다른 고객의 전화를 받을 수 없다.

 

커피숍은 이 진상 손님이 사용하는 전화번호를 차단하여 거짓 요청을 차단하려고 할 수 있다.

이 시나리오에서 진상 손님의 행동은 서비스 거부 공격과 유사하다.

 

 

서비스 거부 (DoS) 공격

 

서비스 거부 (DoS) 공격은 사용자들이 웹 사이트 or 애플리케이션을 이용할 수 없게 만들려는 의도적인 시도이다.

 

예를 들어 공격자는 목표로 삼은 웹 사이트 or 애플리케이션이 과부하가 걸려 더 이상 응답할 수 없을 때까지 웹 사이트 or 애플리케이션을 과도한 네트워크 트래픽으로 플러드시킬 수 있다.

 

웹 사이트 or 애플리케이션을 사용할 수 없게 되면 합법적인 요청을 시도하는 사용자에게 서비스를 거부한다.

 

 

분산 서비스 거부 (DDoS) 공격

 

진상 손님이 친구의 도움을 받게 되었다고 가정하자.

 

진상 손님과 그 친구들은 픽업할 의사는 없지만 반복적으로 커피숍에 전화를 걸어 주문을 한다.

이러한 요청은 서로 다른 전화번호로 들어오고 있으므로 커피숍에서 모든 전화번호를 차단하는 것은 불가능하다.

 

또한 걸려 오는 전화가 증가했기 때문에 고객이 전화를 거는 것이 점점 더 어려워졌다.

이는 분산 서비스 거부 공격과 유사하다.

 

 

분산 서비스 거부 (DDoS) 공격에서는 여러 소스를 사용하여 웹 사이트 or 애플리케이션을 사용할 수 없게 만드는 공격을 시작한다.

 

공격자는 그룹일 수도 있고 심지어 한 명일수도 있다.

단일 공격자는 감염된 여러 컴퓨터(봇)를 사용하여 과도한 트래픽을 웹 사이트 or 애플리케이션으로 전송할 수 있다.

 

DoS 및 DDoS 공격이 애플리케이션에 미치는 영향을 최소화하기 위해 AWS Shield를 사용할 수 있다.

 

 

AWS Shield

 

AWS Shield는 DDoS 공격으로부터 애플리케이션을 보호하는 서비스이다.

AWS Shield는 두 가지 보호 수준인 Standard 및 Advanced를 제공한다.

 

AWS Shield Standard

 

AWS Shield Standard는 모든 AWS 고객을 자동으로 보호하는 무료 서비스다.

AWS 리소스를 가장 자주 발생하는 일반적인 DDoS 공격으로부터 보호한다.

 

네트워크 트래픽이 애플리케이션으로 들어오면 AWS Shield Standard는 다양한 분석 기법을 사용하여 실시간으로 악성 트래픽을 탐지하고 자동으로 완화한다.

 

 

AWS Shield Advanced

 

AWS Shield Advanced는 상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화할 수 있는 기능을 제공하는 유료 서비스다.

 

Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와도 통합된다.

또한 복잡한 DDoS 공격을 완화하기 위한 사요앚 지정 규칙을 작성하여 AWS Shield를 AWS WAF와 통합할 수 있다.