DDoS 공격
최근 회사에 DDoS 공격이 들어왔다. 약 700Mbps 크기로 3~5분 정도로 짧게 들어왔기에 이 공격이 의도하는 바를 모르겠다. 물론 협박 메일도 오지 않았다.
예전에는 DDoS 공격이 들어왔다고 하면 막 어디에선 몇백Gbps 크기로 공격이 들어왔다!! 고는 하는데 DDoS 란 무엇일까.
DDoS 란 Distributed Denial of Service 으로 직역하면 ‘분산 서비스 거부’ 이다. 즉 방대한 양의 인터넷 트래픽을 발생시켜 공격 대상의 서버와 스위치, 라우터 등 인프라를 제압해 서비스 또는 네트워크의 정상 트래픽을 방해하여 원할한 서비스에 영향을 주는 공격이다.
PPS? BPS?
‘방대한 트래픽’ 이란 무엇일까.
네트워크를 측정하는 기준이 BPS 와 PPS 이다.
PPS 란?
PPS란 Packet Per Second 로 초당 패킷의 수 이다.
BPS 란?
BPS란 Bit Per Second 로 초당 bit 의 수 이다.
현대의 인터넷은 ISO 7 Layer Model 에 의해 설계되었다. 이 중 2계층 Eternet 계층에서 최소 단위는 Frame 이다. 왜 갑자기 이 이야기를 하냐면 BPS 를 PPS로 쉽게 변환할 수 가 없다는 것을 말하고 싶다.
PPS 는 패킷이며 이 패킷의 최소 크기는 64byte 이며 실제 통신을 하기 위해 Preamble 및 IFG 도 포함되어 84Byte 가 실제 최소 크기이다.
원활한 계산을 위해 최소 단위로 bps 및 pps 변환 공식은 있지만 data의 크기는 최대 1500byte 이며 MTU 등 기타 설정에 의해 패킷의 크기는 변할 수 있다.
결국은
다시 본론으로 돌아가보자.
이번 우리 회사가 맞은 공격은 출발지 IP가 약 8800개로 사실 이 정도의 규모는 충분히 Gbps 급 공격이 가능하다. 하지만 실제 공격은 700Mbps 급으로 크지 않았고 PPS 수도 보고 싶었지만 이는 확인할 수 있는 방법이 없었다.
만약 장비 입장에서 PPS수가 많은 공격이 발생한다면 어떡할까. 보안장비는 그 패킷을 하나씩 모두 확인하고 처리하는데 리소스가 소모될 것이고 이러한 리소스 소모를 막기 위해 제한을 거는 경우도 있다고 한다. 결국 많은 패킷이 흐를수록 장비 자체의 프로세싱 파워가 늘어나야 한다.
예전에는 단순히 더 많이, 더 크게 DDoS 공격이 이루어졌다. 그래서 DDoS 공격이 들어오면 더 많은 대역폭으로 방어를 하는 경우가 대부분이였다. 하지만 장비의 처리 능력을 높이는데 더 많은 비용과 더 많은 인력이 투입된다.
결국 BPS 가 높다고 더 위험한 공격이라 볼 수 없으며 상황에 따라 PPS 가 높은 공격이 보다 치명적일 수 있다고 생각한다.
뭐 물론 우리는 이 정도의 공격으로 그 어떠한 영향도 없었다.
읽어보면 좋을 아티클 몇개 링크 건다.