SmartNIC용 BIG-IP VE를 통한 클라우드/NFV 환경을 위한 증강된 DDoS 보호

분산 서비스 거부(DDoS) 공격은 활동가, 범죄자, 게이머, 심지어 정부에 의한 방해 공작의 한 형태로 점점 더 흔해지고 있습니다. 서비스 제공업체가 5G 인프라를 구현하고 기업이 디지털 전환을 진행함에 따라 잠재적 공격의 규모와 대상 표면적이 증가할 것으로 예상됩니다. 이러한 위험 증가는 조직이 효율적이고 비용 효율적인 소프트웨어 정의 아키텍처로 전환하는 추세와 결합되어 클라우드/NFV 환경에서 DDoS 완화를 수행하는 것이 그 어느 때보다 더 중요해지고 있습니다.

이 논문은 DDoS 공격 메커니즘에 대한 정보를 제공하고 F5의 소프트웨어 DDoS 완화 솔루션이 Intel의 FPGA PAC N3000 SmartNIC와 어떻게 결합될 수 있는지 설명합니다. 이를 통해 규모가 최대 300배 더 큰 DDoS 공격도 SmartNIC 임베디드 FPGA로 오프로드하여 완화할 수 있습니다.

오늘날과 같이 디지털에 의존하고 상호 연결된 세상에서 사이버 공격은 기업, 서비스 제공자, 정부 기관에 상당한 부정적인 영향을 미칠 수 있습니다. 언론 기관은 해커가 기밀 정보를 훔쳐 협박과 강탈에 사용하는 데 초점을 맞추지만, 많은 악의적인 행위자는 단순히 재정적 피해를 입히려는 의도를 가지고 있습니다.^[1] 서비스 거부 공격(DoS)의 경우 공격자는 인터넷에 연결된 서비스(예: 웹사이트나 메일 서버)를 표적으로 삼아 해당 서비스를 충돌시키거나 응답하지 않게 만듭니다. DoS 공격은 서버 소프트웨어의 오작동을 유발하는 특별히 제작된 요청으로 인해 발생할 수 있습니다.

최근 몇 년 동안 더 나은 코딩 방식과 회귀 기술 덕분에 간단한 DoS 공격의 효과가 떨어졌습니다. 그 결과, 분산 서비스 거부(DDoS) 공격이 더욱 흔해졌습니다. 서비스 제공자가 5G 인프라와 엣지 컴퓨팅을 구현함에 따라 이러한 추세는 계속될 것으로 예상됩니다. DDoS 공격은 종종 악의적인 개인이 조직하고, 손상된 네트워크 컴퓨터 장치의 조정된 봇넷을 통해 분산됩니다. 이러한 장치는 피해자 장치나 서비스에 공격 트래픽을 보내도록 명령받을 수 있습니다.^[1] 대부분의 처리량 기준으로 보면 단일 장치 하나가 손상되어도 영향은 미미한 수준이지만, 대규모 봇넷에서 수천 개 또는 수만 개의 장치가 동시에 공격을 받으면 많은 서비스 제공업체가 흡수할 수 없는 처리량 수준에 도달할 수 있습니다.

온라인 존재에 의존하는 기업의 경우, 서비스 품질 저하와 다운타임은 최종 수익에 좋지 않습니다. 전자상거래는 특히 중단에 취약합니다. 서비스 중단으로 인해 분당 수천 달러에서 수백만 달러의 손실이 발생할 수 있습니다. 중단을 일으키지 않는 공격도 성능을 저하시킬 수 있으며, 불만을 품은 고객이 다른 전자상거래 공급업체로 옮겨가면 실제로 수익 손실이 발생할 수 있습니다.^[2]

소비자의 인터넷 연결 속도가 빨라지고 클라우드에서 사용하는 기기가 늘어나면서 DDoS 공격의 가능성도 커졌습니다. 연결된 기기는 특별한 우려 대상이며, 온라인 서비스의 안전성과 안정성을 유지하려면 해당 기기의 보안을 유지하는 것이 필수적입니다. DDoS 공격의 가능성이 커짐에 따라 많은 조직이 소프트웨어 중심 아키텍처에 대한 DDoS 공격의 위험에 더 많이 노출되고 있습니다. DDoS 대응을 위한 대부분의 소프트웨어 기반 보호 기능은 대규모 공격으로부터 방어하는 데 필요한 용량과 성능이 부족합니다. 다행히도 최신 세대의 네트워크 인터페이스 카드인 SmartNIC를 사용하면 소프트웨어 솔루션에서 네트워크 및 보안 기능의 부담을 덜어주고 사용 가능한 CPU의 부담을 덜어 이러한 문제를 해결할 수 있습니다.

이 보고서는 실제 공격 시나리오의 증거를 사용하여 여러 공격 메커니즘을 정의한 다음, F5의 소프트웨어 DDoS 완화 솔루션인 F5® BIG IP® Advanced Firewall Manager™, Virtual Edition(BIG-IP AFM VE)을 Intel의 PAC 3000 SmartNIC으로 강화하는 방법을 보여줍니다. 이 결합 솔루션(BIG-IP Virtual Edition for SmartNIC 솔루션)이 동등한 소프트웨어 전용 솔루션보다 규모가 최대 300배 더 큰 DDoS 공격을 완화할 수 있는 방법을 보여드리겠습니다.

상태 없는 공격은 상태 있는 프로토콜에 사용될 수 있지만 공격자가 악의적인 연결에 대한 상태를 추적할 필요는 없습니다. 이러한 공격 방식은 최소한의 리소스만 필요하고 소스 IP 주소 스푸핑을 지원하기 때문에 인기가 있습니다. 가장 널리 사용되는 고전적 공격 형태는 상태 저장 연결을 열라는 서버에 대한 가짜 요청으로 시작되는데, 문제가 있는 클라이언트(대개 봇넷 노드)는 이를 절대 승인하지 않습니다.^[1] TCP SYN 플러드 공격은 하나의 구체적인 예이다. TCP 연결 설정 중에 3방향 핸드셰이크는 클라이언트가 SYN 패킷을 전송하면서 시작됩니다. 서버가 클라이언트로부터 SYN 패킷을 받으면 튜플, 시퀀스 번호, 세션 상태를 보관하는 TCP 소켓 데이터 구조에 대한 메모리를 즉시 할당합니다. 그러면 서버는 SYN-ACK 패킷으로 클라이언트에게 응답합니다.

일반적인 상황에서는 패킷 손실이나 통신 속도 저하로 인해 SYN-ACK 패킷이 지연되거나 완전히 손실될 수 있습니다. 서버는 재설정을 전송하고 다른 작업을 위해 메모리를 해제하기 전에 소켓을 반 열린 상태로 유지할 시간을 결정해야 합니다.^[3] 널리 알려진 DDoS 기술은 SYN 패킷을 대량으로 생성해 피해자 서버를 속여 수천 개의 가짜 세션에 TCP 소켓과 메모리를 할당하도록 하는 것입니다. 초당 수천 개의 SYN 패킷에 달하는 공격 속도로 인해 웹 서버는 빠르게 모든 메모리를 소모하게 됩니다. 이 예에서 악의적인 공격자는 유리합니다. 공격자는 세션이 하나도 사용되지 않을 것임을 알고 있으므로 세션을 추적하기 위해 메모리를 예약할 필요가 없습니다. 이를 통해 공격자는 모든 시스템 리소스를 추가적인 가짜 SYN 패킷을 전송하는 데 전용할 수 있습니다.

상태 없는 프로토콜은 위조된 소스 주소를 잘 활용하기 때문에 악용하기 쉽습니다.^[4] 상태 비저장 프로토콜은 핸드셰이크를 필요로 하지 않기 때문에, 서버로 단일 제작된 패킷을 전송하면 즉각적인 대응이 시작되어 적대적 장치의 리소스를 최소화하고 적대적의 신원을 숨길 수 있습니다.^[5] 피해자의 데이터 응답 패킷은 스푸핑된 IP로 전달되는데, 이는 별도의 피해자 주소일 수 있습니다. 이러한 패킷이 많으면 인터넷 연결이나 서버를 느리게 하거나 비활성화할 수 있어 공격의 효율성을 높일 수 있습니다.

증폭 공격이라고 알려진 무상태 공격의 별도 범주에는 DNS 플러드와 NTP 플러드가 포함됩니다. 둘 다 공격 벡터의 일부로 주소 스푸핑을 사용합니다. 확대 공격은 특히 서버의 응답이 원래 요청보다 훨씬 더 클 수 있기 때문에 피해가 큽니다.

개발자들 사이에서 인기 있는 코드 관리 서비스인 GitHub은 2018년, 기록상 가장 큰 규모의 DDoS 공격을 받았습니다. 공격이 가장 심했을 때, 해당 서비스는 초당 1.3테라바이트(Tbps)의 트래픽을 수신했습니다. 이는 인기 있는 데이터베이스 캐싱 시스템인 Memcached를 사용하여 증폭 효과를 활용한 Memcached DDoS 공격이었습니다. 공격 중에 공격자는 Memcached 서버를 스푸핑된 요청으로 범람시켜 공격을 50,000배로 증폭시킬 수 있었습니다.^[6]

무상태 공격은 일반적인 유형의 DDoS 위협이지만, 간단하기 때문에 발견하고 예방하거나 완화하기가 쉽습니다.

상태 기반 DDoS 공격은 성공률이 더 높고 예방하기가 더 어렵습니다. 상태 기반 공격은 피해자와의 핸드셰이크를 완료하고, 그 외에는 합법적인 사용자처럼 행동합니다. 이러한 종류의 공격 벡터는 기존의 DDoS 방지 메커니즘을 속일 수 있으며, 공격하는 시스템에 더 많은 컴퓨팅 성능과 메모리를 필요로 합니다. 성공적인 공격을 시작하는 핵심은 합법적인 요청처럼 행동하는 것입니다. 이러한 공격을 완화하는 데 있어 과제는 실제 사용자 요청과 악의적인 요청을 구분하기 위한 적절한 분류에 있습니다.

상태 기반 공격의 간단한 예로는 합법적 사용자의 행동을 모방하여 많은 수의 공격자(예: 봇넷)를 이용해 충분히 큰 규모의 트래픽을 생성하는 것이 있습니다. 이러한 볼륨 공격은 피해자가 모든 요청을 소비하거나 처리할 수 없거나 서비스의 인터넷 연결이 최대 용량으로 포화 상태일 때 성공합니다. 트래픽이 합법적 사용자의 행동을 모방하도록 만들어졌기 때문에 악성 트래픽과 합법적 트래픽을 구별하고 감지하기가 훨씬 더 어렵습니다. 어떤 유형의 핸드셰이크 메커니즘(예: 챌린지-응답, 비밀 인코딩, 쿠키 교환 등)을 포함하는 서비스의 경우, 유효한 응답을 간단하게 생성할 수 있는 응답 체계에 취약점이 발견되지 않는 한, 볼륨 공격이 피해자를 악용할 수 있는 유일한 방법이 될 수 있습니다.^[7]

고급 상태 저장 공격의 한 유형은 특정 애플리케이션 수준 서비스를 대상으로 합니다. HTTP 프로토콜을 공격하는 한 가지 예는 "Slowloris"로 알려져 있습니다. 이 공격은 악의적인 공격자가 웹 서버에 여러 개의 부분적인 HTTP "GET" 요청을 보내어 동시에 가능한 최대 연결 수를 포화시키는 것으로 시작됩니다. 이 공격이 효과적인 이유는 클라이언트가 요청 명령을 보내는 동안 HTTP 프로토콜이 연결을 열어두기 때문이며, 요청 명령은 여러 패킷으로 나눌 수 있습니다. 악의적인 클라이언트는 최대 몇 분간의 유휴 시간을 두고 서버에 부분적인 HTTP 요청을 주기적으로 전송하며, 요청을 종료하지 않습니다.

Slowloris와 비슷한 방법으로는 "Are You Dead Yet" 또는 "RUDY" 공격이 있는데, 이는 HTTP "POST" 명령을 사용하여 의심하지 않는 웹 서버에 데이터 응답을 천천히 보냅니다.^[8] 두 방법 모두 실행하는 데 최소한의 리소스만 필요하며, 많은 웹 서버에서 HTTP 연결을 열어두는 기본 시간 제한이 5분이므로 최소한의 대역폭만 필요합니다.^[1]

조각화 공격도 효과적인 상태 기반 공격이 될 수 있습니다. 이 기술은 단일 대상지를 타겟으로 하는 여러 소스 포트 및 주소와 조정될 수 있습니다. 공격을 받는 엔드포인트는 각 조각 패킷을 다시 조립하려고 시도하면서 해당 패킷의 상태를 저장합니다. 각각의 고유한 소스 포트와 주소 조합에는 공격을 받는 시스템이 다른 조각화 버퍼를 할당해야 합니다. 다양한 악성 시스템이 조각난 패킷을 공급할 수 있는 능력은 공격을 받는 시스템이 모든 조각난 거래의 상태를 유지하려고 시도함에 따라 해당 시스템의 리소스를 능가할 수 있습니다.

상태 기반 공격은 피해자에게 유효한 응답을 생성하는 데 의존하므로 일반적으로 공격자의 소스 주소를 스푸핑하는 것은 불가능합니다. 이 규칙에 대한 한 가지 예외는 공격자가 합법적인 트래픽이 통과하는 라우터나 네트워크 매체를 손상시킬 수 있는 경우입니다. 이 경우 공격자는 소스 주소를 스푸핑하고 피해자의 응답을 탐지하면 유효한 상태 응답을 생성하여 기본적으로 연결 상태를 추적할 수 있습니다.^[7]

F5 솔루션이 다양한 유형의 DDoS 공격을 완화하는 데 얼마나 효과적인지 확인하기 위해 IXIA 테스트 시스템을 사용하여 테스트 환경을 구성했습니다. IXIA XT80은 우수한 '합법적' 클라이언트 트래픽과 서버 응답을 제공했고 IXIA XGS12는 나쁜 클라이언트 공격 트래픽을 생성했습니다. 이 테스트는 합법적인 클라이언트-서버 트래픽의 안정적인 기준을 확립하고, 공격 트래픽이 합법적인 트래픽의 성공적인 전달을 방해하기 시작하는 수준을 식별하기 위해 공격 트래픽을 늘리도록 구성되었습니다. 이를 통해 재현 가능한 특성화와 완화 효과 비교가 가능해졌습니다.  각 테스트에서 DDoS 공격은 기존 기준선에서 합법적인 트래픽이 10% 감소한 것을 관찰한 후에 시스템에 영향을 미친 것으로 판단되었습니다.

합법적인 트래픽 기준선은 BIG-IP VE 시스템 용량의 20%로 구성되며, 이는 BIG-IP AFM 모듈이 프로비저닝된 8vCPU 고성능 VE입니다. 이 시스템은 40Gbps의 처리가 가능하므로 합법적인 트래픽 기준은 8Gbps로 유지되었습니다.

BIG-IP AFM VE는 다양한 트래픽 분류(예: UDP, 조각, TCP SYN 등)에 대해 허용 임계값을 설정하여 DDoS 공격을 완화합니다. 특정 트래픽 유형에 대한 임계값을 초과하면 해당 분류와 일치하는 모든 트래픽을 삭제하도록 시스템을 구성할 수 있습니다. 이를 통해 시스템은 해당 유형의 트래픽을 처리하는 데 따르는 추가 비용을 절감할 수 있습니다. 소프트웨어 기반 DDoS 솔루션은 보호되지 않은 시스템에 비해 어느 정도 이점을 제공할 수 있지만, 소프트웨어가 회선 속도로 패킷을 처리하는 능력에는 한계가 있기 때문에 소프트웨어 완화책으로는 DDoS 공격의 영향을 완전히 막을 수 없습니다.

테스트의 다음 단계는 소프트웨어 솔루션만 적용하여 합법적인 트래픽을 방해하는 데 필요한 DDoS 트래픽 속도를 확인하는 것이었습니다. 이는 소프트웨어 전용 솔루션과 SmartNICs 솔루션용 BIG-IP VE 간의 성능 비교를 위해 수행되었습니다. BIG-IP AFM 테스트를 위한 아키텍처 시스템 구성은 그림 6에서 볼 수 있습니다.

보다 포괄적인 분석을 위해 세 가지 DDoS 공격 유형에 대한 BIG-IP AFM VE의 DDoS 완화 성능 데이터를 수집했습니다. 이 시뮬레이션에 포함된 공격 유형은 다음과 같습니다.

• 공격 유형 1 – UDP 플러드 공격: 이 상태 없는 볼륨 공격은 대상 서버의 처리 및 응답 기능에 영향을 미치는 것을 목표로 대량의 사용자 데이터그램 프로토콜 패킷을 대상 서버로 전송하여 수행됩니다.
• 공격 유형 2 – 크리스마스 트리 공격: 이 공격은 크리스마스 트리 패킷을 사용합니다. 크리스마스 트리 패킷은 모든 옵션이 '켜짐'으로 설정되어 모든 프로토콜을 사용할 수 있으므로 "크리스마스 트리처럼 밝혀진" 것처럼 보입니다. 이러한 패킷은 다른 패킷보다 훨씬 더 많은 처리 능력을 필요로 하며 대량으로 전송되면 최종 장치의 계산 용량을 빠르게 소모할 수 있습니다.
• 공격 유형 3 – IP 단편 공격: 이 일반적인 볼륨형 DDoS 공격은 데이터그램 조각화 과정을 악용하여 네트워크를 마비시킵니다. 이러한 공격은 일반적으로 재조립이 불가능하고 네트워크의 최대 전송 단위(MTU)보다 큰 가짜 패킷을 보내는 방식으로 이루어지며, CPU 리소스를 고갈시켜 서버를 빠르게 압도합니다.

그림 7은 BIG-IP AFM VE(소프트웨어 전용)를 사용할 때 이러한 각 공격 유형이 양호한 트래픽에 영향을 미치는 데 필요한 트래픽 볼륨을 Gbps 단위로 보여줍니다.

모든 DDoS 공격이 동일하게 만들어진 것은 아닙니다. 어떤 공격은 다른 공격보다 시스템 전반에 걸쳐 더 광범위하게 분산되어 있으며, 일부 공격은 식별되기 전에 더 많은 패킷 검사 및 구문 분석이 필요합니다. 그래프에서 볼 수 있듯이, 이로 인해 DDoS 공격의 효율성이 달라집니다. 이 세 가지 시뮬레이션된 공격 방법은 소프트웨어 전용 솔루션을 사용할 경우 비교적 낮은 처리량으로도 합법적인 트래픽이 DDoS 공격의 영향을 받을 수 있음을 보여줍니다.

SmartNIC 솔루션용 BIG-IP VE는 Intel FPGA PAC N3000 SmartNIC와 통합된 8vCPU 고성능 AFM VE(소프트웨어 전용 테스트에서 사용된 것과 동일)로 구성됩니다. 이를 통해 DDoS 보호를 SmartNIC으로 오프로드할 수 있습니다. 이 SmartNIC에 내장된 FPGA는 100가지 이상의 알려진 DDoS 공격을 자동으로 탐지하고 차단하도록 프로그래밍되었으며, 행동 분석을 사용하여 알려지지 않은 진화하는 위협을 완화합니다.

프로그래밍된 모든 트래픽 프로필에 대한 패킷 수신 속도를 유입 트래픽에서 모니터링하고, 허용 가능한 구성 임계값과 비교함으로써 FPGA는 임계값을 초과한 시점을 판별할 수 있습니다. 이러한 상황이 발생하면 FPGA는 구성된 최대값을 초과하는 트래픽을 삭제하기 위한 적절한 정책을 시행합니다. 이렇게 하면 DDoS 완화 정책으로 인해 최종적으로 삭제될 패킷 트래픽을 CPU 하위 시스템에서 처리할 수 없게 됩니다. FPGA는 CPU 서브시스템과 달리 라인 속도로 패킷 트래픽을 분류할 수 있으므로 SmartNIC 지원 솔루션은 소프트웨어 전용 솔루션에 비해 현저한 이점을 제공합니다.

이 데모의 다음 단계에서는 SmartNIC 지원 솔루션이 테스트 환경 내에서 동일한 세 가지 DDoS 공격을 받았습니다. 이전과 마찬가지로 목표는 합법적인 트래픽 스트림에 영향을 미치는 데 필요한 DDoS 트래픽 속도를 식별하는 것이었습니다. 그림 8은 SmartNICs 테스트를 위한 BIG-IP VE의 아키텍처 시스템 구성을 보여줍니다.

이 테스트의 결과는 그림 9에 나와 있습니다.

F5의 소프트웨어 전용 DDoS 솔루션(BIG-IP AFM VE)은 합법적인 트래픽이 부정적인 영향을 받기 전에 소규모 공격에 대해 어느 정도 보호 기능을 제공할 수 있지만, 이 솔루션은 대규모 공격으로 인한 부정적인 영향을 방지할 수 없다는 점이 관찰되었습니다. BIG-IP AFM VE를 Intel의 FPGA PAC N3000 SmartNIC와 통합하여 SmartNIC 솔루션을 위한 BIG-IP VE를 구성하면 성능이 현저히 향상됩니다. DDoS 위협 완화 책임을 BIG-IP AFM VE에서 SmartNIC 내의 FPGA로 분산함으로써, 통합 솔루션은 30Gbps 이상의 속도를 가진 공격을 포함하여 규모가 41~381배 더 큰 공격을 견딜 수 있었습니다. 클라우드 중심의 필수 요건을 갖춘 조직과 서비스 제공업체를 위해 이 솔루션은 클라우드 환경의 유연성과 민첩성을 제공하는 동시에 특수 목적 하드웨어의 고성능 보호 기능을 제공합니다. 또한, FPGA는 재프로그래밍이 가능하므로 위협이 진화함에 따라 다른 네트워크 및 보안 기능을 증강시키는 것도 가능합니다.

¹ G. D. 하켐 베이톨라이, 분산 서비스 거부 공격에 대한 잘 알려진 대책 분석, 컴퓨터 커뮤니케이션, 2012.
² HW Chuan Yue, "전자상거래 웹사이트에서의 이익 인식 과부하 보호", Journal of Network and Computer Applications, 제32권, 347-356쪽, 2009년.
³ AM Christos Douligeris, "DDoS 공격 및 방어 메커니즘: 분류 및 최신 기술", Computer Networks, vol. 44, no. 5, pp. 643-666, 2004.
⁴ GD 하켐 베이톨라히, "분산 서비스 거부 공격에 대한 잘 알려진 대책 분석", 컴퓨터 커뮤니케이션, 제35권, 제11호, 1312-1332쪽, 2012년.
⁵ M. Prince, "DNS 증폭 DDoS 공격의 심층적 분석", CloudFlare, 30 10 2012. [온라인]. 사용 가능: https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/ . [2015년 1월 11일 접속]
⁶ US-CERT, "UDP 기반 증폭 공격", 2015년 8월 19일. [온라인]. 사용 가능: https://www.us-cert.gov/ncas/alerts/TA14-017A .
⁷ YTWD Shigang Chen, "상태 기반 DDoS 공격과 타겟 필터링", Journal of Network and Computer Applications, 제30권, 제3호, 823-840쪽, 2007년.
⁸ https://www.incapsula.com/ddos/attack-glossary/rudy-ru-dead-yet.html, "루디 (RU-아직-죽었나?),"[온라인]. 사용 가능: https://www.incapsula.com/ddos/attack-glossary/rudy-ru-dead-yet.html . [2015년 12월 9일 접속]