애플리케이션 DDoS

낮고 느린 공격, 비대칭 공격, SlowHTTPTest, Slow Loris, POST 및 GET 플러드


제출해 주셔서 감사합니다. 액세스 권한이 곧 받은 편지함으로 전송됩니다. 액세스 문제가 있는 경우, thef5team@f5.com으로 이메일을 보내 주십시오.

웹사이트가 이전보다 느려졌습니까?

사용자가 로그인 문제, 검색 시간 초과 또는 설명할 수 없는 데이터베이스 오류를 자주 보고하나요? 그런 경우, 애플리케이션 수준 분산 서비스 거부(애플리케이션 DDoS)의 피해자일 수 있습니다. 애플리케이션 DDoS는 지난 10년간 컴퓨터 과학 분야에서 가장 심각한 문제 중 하나였으며, 다른 이름으로는 “낮고 느린” 공격, “레이어 7 DOS” 공격, 비대칭 공격이라고도 합니다.

DDoS를 사용한 경쟁사의 마스크 스크래핑

2천만 명 이상의 회원을 보유한 주요 보험사가 웹사이트를 통해 판매사, 보험금 및 플랜에 대한 정보를 제공하고 있습니다. 공격자는 며칠 동안 쿼리를 통해 보험사의 검색 기능을 플러딩하여 사이트를 마비시켰습니다.

F5 Distributed Cloud 연구진은 서비스 거부 공격에 동반된 저수준 자동 스크래핑 활동을 주시했는데, 이는 DoS 공격이 우회 전술이었을 수 있음을 시사합니다.

사례 연구: 보험사, 애플리케이션 레이어 DDoS 방어

주요 내용:

  • 보험사의 서비스는 개인 맞춤화되기 때문에 웹사이트 검색은 필수적인 기능입니다.
  • 공격자는 단순한 명령줄 도구를 사용하여 실패를 유발하기에 충분한 속도로 검색 기능을 수행했습니다.
  • F5 Distributed Cloud는 애플리케이션 DDoS를 탐지하고 경쟁사에 의한 스크래핑임을 밝혀냈습니다.

2,000만 명


2,000만 명 이상의 회원을 보유한 주요 보험사가 웹사이트를 통해 판매사, 보험금 및 플랜에 대한 정보를 제공하고 있습니다.

애플리케이션 DDoS 공격자 플레이북

1단계

공격자(경쟁자, 강탈자 또는 활동가)는 탐지되지 않도록 며칠 또는 몇 주 동안 천천히 스파이더링 서비스를 사용하여 웹사이트를 정찰합니다. 각 쿼리에 소요되는 시간 및 반환된 데이터의 양과 함께 URL 목록을 작성합니다.

2단계

그런 다음, 공격자는 완료 시간 또는 파일 크기별로 목록을 정렬하고 해당 목록의 첫 번째 URL을 1초에 100번 또는 그 이상 반복적으로 요청합니다. 작은 GET 요청은 실행해도 아무런 문제가 되지 않지만, 5MB의 PDF 파일이나 비용이 많이 드는 데이터베이스 쿼리를 1분에 6,000번 실행한다면 방어력이 없는 웹사이트의 경우 큰 혼란을 일으킬 수 있습니다.

3단계

방어자가 표적이 된 대상에 대한 요청을 차단해도 공격자는 목록의 다음 URL로 표적을 이동합니다. 어떤 URL이 표적이 될지 방어자는 거의 알 수 없습니다. URL이 데이터베이스 쿼리인 경우, 반복적인 요청은 전체 데이터베이스를 작동 불능 상태로 만들어 비즈니스가 중단될 수 있습니다.

F5 Distributed Cloud가 애플리케이션 DDoS 공격을 해결하는 방법

F5 Distributed Cloud에서는 상상할 수 있는 거의 모든 종류의 애플리케이션 레이어 DDoS 공격을 경험했습니다. 간단한 공격의 경우, 경쟁사에서 가장 느린 데이터베이스 검색을 반복 호출하여 웹사이트를 작동 불능 상태로 만들 수 있습니다. 일부 소매업체에서 가장 느린 검색은 매장 검색일 수 있습니다. 다른 업체의 경우, 색인화되지 않은 “모두 선택” 쿼리일 수 있습니다. 공격자 측의 작은 요청 각각이 웹사이트의 방대한 리소스를 끌어올 수 있기 때문에 공격자는 대규모 공격을 가할 필요 없이 작은 GET 요청 스트림만 꾸준히 보내면 됩니다. 이러한 “낮고 느린” DDoS 공격에서는 대역폭 트리거 경보가 발생하지 않습니다.

애플리케이션 DDoS 공격자는 자동화(스크립트, 프로그램 및 봇넷)에 의존하여 DDoS 공격을 수행합니다. 전통적인 DDoS 방어는 일반적으로 이런 종류의 공격을 제대로 인식하지 못하는데, 이러한 공격이 거의 항상 암호화된 SSL 채널을 통해 수행되기 때문입니다.

DDoS 차트

위의 다이어그램은 F5 Distributed Cloud Protection Manager가 기록한 트래픽을 나타내며, 보험사의 웹사이트를 향한 공격 트래픽을 보여줍니다. 빨간색은 F5 Distributed Cloud가 활성화되기 전에 원래 서버에 도달한 트래픽을 나타냅니다. 회색은 F5 Distributed Cloud에 의해 차단되어 원래 서버에 도달하지 못한 트래픽을 나타냅니다. 이 차트는 F5 Distributed Cloud가 손상 효과를 완화한 후에도 계속되는 일반적인 앱 레이어 DDoS 공격 패턴을 보여줍니다.

F5 Distributed Cloud Security에서는 다른 자동화에서와 마찬가지로 공격을 확인하여 탐지할 수 있습니다. 공격 클라이언트가 실제 브라우저가 아닐 경우를 파악하여 해당 클라이언트를 제한하거나 리디렉션하거나 제어된 차단을 사용하여 영향을 최소화합니다. 경우에 따라서는 형세를 역전시켜 공격자의 쿼리를 느리게 만들어 공격에 성공하지 못했지만 성공했다고 생각하게 만듭니다.

F5 Distributed Cloud는 인간과 컴퓨터를 구분하는 데 특화되어 있으며, 애플리케이션 DDoS는 F5가 일주일에도 수십억 번 처리하는 동일한 위협 벡터의 또 다른 봇 증상일 뿐입니다.