블로그

클라우드 연대기, 2부: DNS DDoS 공격 예방 및 방어

그리프 셸리 썸네일
그리프 셸리
2024년 6월 26일 게시

DNS 솔루션이 사용자 환경에 어떻게 적용되는지 고려할 때 보안은 가장 먼저 고려되지 않을 수도 있습니다. 결국, 인터넷은 종종 "인터넷의 전화번호부"로 불리며, 전화번호부와 보안이 같은 문장에서 언급되는 경우가 얼마나 자주 있을까요? DNS는 기본적으로 일상적인 인터넷 상호작용의 중추이지만, 그다지 눈에 띄지 않는 것 같습니다. 아마도 이러한 보편성 때문에 DNS 서비스가 DDoS(분산 서비스 거부) 공격 의 대상이 되는 경우도 많습니다. 이러한 공격의 복잡성과 빈도가 증가함에 따라, 인터넷 인프라의 초석을 방어하는 데 필요한 요구 사항도 함께 증가합니다.

DNS DDoS 공격: 장미는 이름이 달라도 교통을 방해할 것입니다.

DNS DDoS 공격 에 대해 아직 언급되지 않은 내용이 있나요? 이러한 악성 프로그램은 여러 가지 종류가 있으며, "불편함"에서 " 인터넷을 망가뜨림 " , 또는 적어도 인터넷의 한 구석을 망가뜨림까지 그 규모가 다양합니다. "DDoS"는 합법적인 애플리케이션 트래픽 으로 유입되는 수많은 유형의 서비스 거부 네트워크 및 애플리케이션 공격을 포괄하는 포괄적인 용어입니다. 보다 흔한 대규모 공격 중 4가지를 소개합니다.

DNS 증폭 및 반사 공격 DNS 자체를 무기로 바꿔 DNS 서버 의 개방적인 특성을 이용해 공격 트래픽을 증폭시킵니다. 협곡에 소리를 지르고 메아리를 이용해 소리를 증폭시키는 것과 비슷합니다.

NXDOMAIN 공격은 존재하지 않는 도메인에 대한 요청으로 서버를 범람시켜 서비스를 마비시키는 "잘못된 번호"의 교활한 불협화음을 생성합니다.

무작위 하위 도메인 공격은 존재하지 않는 하위 도메인을 광범위하게 요청하여 DNS 확인자를 혼란스럽게 만들어 예상치 못한 결과를 초래합니다.

DNS 플러드는 합법적으로 보이는 트래픽으로 하나 이상의 서버를 침수시켜 엄청난 양으로 시스템을 압도하려고 시도합니다.

DNS 플러드, 하위 도메인, NXDOMAIN, 증폭 및 반사 공격은 어떤 방식으로 나타나든 모두 과도하거나 불규칙한 트래픽을 사용하여 합법적인 사용자가 비즈니스에 중요한 앱에 액세스하는 것을 방해하려고 합니다. 그것들은 항상 고립된 채로 발사되는 것은 아닙니다. 실제로, DNS DDoS 공격은 다른 악의적인 활동을 가리는 연막막 역할을 할 수도 있습니다. 디지털 혁신이 급속히 확산되고 IoT 기기가 널리 보급되며 5G 네트워크 접속이 확장되는 상황에서 이러한 공격 유형이 존재한다는 점을 고려하면 악의적인 행위자들은 이제 그 어느 때보다 더 많은 기술과 인터넷 연결을 활용해 DNS 서비스를 표적으로 삼아 사악한 목표를 실현할 수 있습니다. 무엇을 해야 하나요?

다중 벡터 공격, 다중 벡터 보안

환경에서 애플리케이션 제공의 시작점으로 DNS를 배치하는 것은 DNS 서비스가 일반적으로 전통적인 의미에서 보안 솔루션으로 간주되지 않더라도 팀이 이를 보안의 시작점으로 고려할 것을 실제로 요구합니다.

보안을 확장성, 고가용성, 악성 트래픽 관리라는 세 가지 관련 기능의 맥락에서 생각해 보는 것이 도움이 됩니다. 이러한 기능은 모두 교통과 상호 작용하는 데 직접적인 역할을 하며, 교통이 방해받지 않고 필요한 곳으로 이동할 수 있도록 보장합니다. 

확장성: 급증하는 트래픽 수요에 대응하여 자동으로 확장되도록 구축된 인프라를 고려해보세요. 이를 통해 서비스를 유지 관리하는 팀은 DDoS 공격을 감지하는 데 있어 앞서 나갈 수 있습니다. 이를 통해 대량 공격 중에도 합법적인 사용자는 최소한의 간섭으로 DNS 쿼리를 해결할 수 있습니다. 예를 들어 혼잡한 교통 상황에서 차선을 추가하여 교통 체증을 방지할 수 있는 다리를 갖는 것과 같습니다. DNS 서비스의 확장성은 악의적이든 아니든 갑작스러운 트래픽 급증으로 인해 백엔드 리소스가 마비될 정도로 과부하가 걸리지 않는다는 것을 의미합니다.

높은 가용성: 특히 DNS 보안 맥락에서 확장성 개념에 또 다른 차원을 추가하면 리소스를 오프라인으로 만들 수 있는 공격 중에도 중단 없이 해결할 수 있는 DNS 서비스가 필요하다는 것을 깨닫게 될 것입니다. 해당 서비스가 전 세계의 접속 지점(PoP)을 활용하는 경우 해당 서버 네트워크는 지정된 리소스에 대한 원활한 장애 조치를 제공하고 사용자의 액세스를 허용하며 공격자가 단일 장애 지점을 식별하여 악용하지 못하도록 방지함으로써 지능형 트래픽 관리를 제공할 수 있습니다. 이 솔루션의 또 다른 방식은 클라우드 기반 DNS 서비스를 온프레미스 DNS 서비스와 페어링하여 둘을 일종의 동적인 DDoS 차단 듀오 로 배포하여 부하를 분산하거나 한 DNS 서비스를 다른 DNS 서비스의 백업으로 배치하는 것입니다.

악성 트래픽 관리: 확장성과 높은 가용성 외에도 DNS 서비스는 고급 악성 트래픽 관리 기능도 사용해야 합니다. 이러한 서비스는 실시간 분석과 위협 인텔리전스를 활용하여 관리자가 악성 트래픽이 피해를 입히기 전에 이를 식별하고 해결하는 데 도움이 될 수 있습니다. 깨끗한 물과 오염된 물을 구분해 깨끗한 물만 통과시키는 정수 필터를 상상해보세요. 네트워크를 통해 "깨끗한" 트래픽만 허용하면 악성 트래픽을 사전에 감지하여 피해자 목적지에 도달하기 전에 삭제함으로써 리소스를 확보하고, 해당 목적지가 정크 패킷을 처리할 필요가 없으므로 앱 가용성이 향상됩니다.

이러한 보안 방법은 악성 트래픽을 완화하는 문제를 삼각 측량합니다. 그들은 성장하고, 방향을 바꾸고, 쇠퇴합니다. 또한 각각의 방법으로는 부족할 수 있는 분야에서 서로에게 보장을 제공합니다. 높은 가용성예를 들어, 반드시 높은 확장성을 의미하지는 않습니다(그 반대의 경우도 마찬가지입니다). 하지만 세 가지 모두를 결합한 앱 전송 전략을 구축하면 악의적인 트래픽 폭주에 대한 강력한 방어선을 신속하게 구축할 수 있습니다.

실제로 DDoS 공격과 같은 문제에 직면하여 견고한 애플리케이션 제공을 달성하려면 지능형 트래픽 관리, 분산 아키텍처, 자동화된 장애 조치 메커니즘과 같은 전략과 기술을 결합해야 하는 경우가 많습니다. F5 분산 클라우드 DNS는 분산 앱을 위한 이러한 환경을 개발하는 첫 번째 단계가 될 수 있습니다.

자세한 내용을 알고 싶으시다면 저희에게 연락해 주세요 .