3계층, 4계층, 7계층 공격
3계층 공격은 네트워크 계층(IP, ICMP)을 노립니다 — ICMP 플러드와 IP 단편화 공격이 그 예입니다. 4계층 공격은 전송 계층(TCP, UDP)을 노립니다 — SYN 플러드, UDP 증폭, DNS 증폭이 그 예입니다. 7계층 공격은 애플리케이션 계층(HTTP, HTTPS)을 노립니다 — HTTP GET/POST 플러드와 Slowloris가 그 예입니다. 각 계층마다 다른 방어가 필요합니다.
3, 4계층의 볼류메트릭 공격은 네트워크 파이프 자체를 포화시키려 합니다. 공개된 가장 큰 공격은 초당 수 Tbps 임계를 넘어섰습니다 — Cloudflare는 2025년 5월 7.3 Tbps 공격을 방어했다고 보고했고, AWS Shield는 일찍이 2020년 2월에 2.3 Tbps 공격을 보고했습니다. 이런 공격은 증폭 프로토콜(DNS, NTP, memcached, CLDAP)이 작은 위조 쿼리로 훨씬 큰 응답을 피해자에게 전송하게 만들기 때문에 가능합니다 — DNS는 50배, NTP는 200배, memcached는 50,000배의 증폭 비율이 문서화돼 있습니다. 4계층의 프로토콜 공격 — SYN 플러드, ACK 플러드, 단편화 패킷 공격 — 은 대역폭을 포화시키기보다 방화벽과 로드 밸런서의 연결 추적 상태를 고갈시킵니다. 7계층 공격은 바이트 기준 가장 작지만 가장 필터링하기 어렵습니다 — 100,000 노드 봇넷의 HTTP 플러드는 비트 단위로 진짜 사용자처럼 보이며, 애플리케이션 인식 로직만이 둘을 구별할 수 있습니다.
BGP 블랙홀과 원격 트리거 블랙홀(RTBH)
BGP 블랙홀은 잔인하지만 효과적인 최후의 방어입니다 — 네트워크 운영사가 공격받는 IP에 대해 특수한 '블랙홀' BGP 커뮤니티로 /32 경로를 광고해 모든 업스트림 피어에게 그 IP로 향하는 트래픽을 완전히 드롭하라고 알립니다. 대상은 오프라인이지만 네트워크의 나머지는 살아 있습니다. RTBH는 RFC 5635에 표준화되어 있으며 모든 Tier 1 통신사가 지원합니다.
RTBH는 RFC 5635(2009년 8월)에 문서화되어 있으며, 업스트림 피어가 '이 프리픽스로 향하는 모든 트래픽을 폐기'로 해석하는 커뮤니티 속성으로 경로를 태깅하는 방식으로 작동합니다. 방어는 완전합니다 — 보호 대상 IP는 정상 사용자를 포함해 인터넷 전체에서 도달 불가능해집니다 — 하지만 나머지 고객 플릿을 부수적 피해로부터 보호합니다. 이 정도로 거친 도구이기 때문에, RTBH는 단일 IP가 수백 Gbps 공격에 포화되고 그 IP 하나를 살리는 비용보다 더 넓은 장애 비용이 큰 경우에 적절합니다. 많은 저티어 'DDoS 보호' VPS 요금제가 실제로 의미하는 것은 정확히 이것입니다 — 사업자는 자기 플릿의 나머지를 안전하게 지키기 위해 공격받는 귀하의 IP를 널 라우트합니다. 정의상 서비스 거부 방어이지만, 보호되는 자원은 귀하가 아니라 사업자의 네트워크입니다.
스크러빙 센터와 트래픽 우회
스크러빙 센터는 공격 트래픽을 필터링하고 깨끗한 트래픽을 오리진으로 전달하는 강화된 네트워크 사이트입니다. 트래픽은 BGP 광고(항시 활성 또는 온디맨드) 또는 DNS 포인팅을 통해 그곳으로 우회됩니다. Tbps당 스크러빙 용량이 헤드라인 지표입니다 — 가장 큰 사업자는 200+ Tbps의 종합 스크러빙을 운영하고, 특화 호스팅 사업자는 보통 1-10 Tbps를 광고합니다.
스크러빙 센터는 전용 어플라이언스 — Arbor TMS, Radware DefensePro, A10 Thunder, NSFOCUS ADS 또는 대규모 맞춤 Linux/DPDK 파이프라인 — 를 운영해 모든 패킷을 검사하고 정상과 악성 패턴을 분류한 뒤 깨끗한 부분만 오리진으로 전달합니다. 우회는 보통 BGP로 이루어집니다 — 공격 중에 고객의 프리픽스가 스크러빙 사업자의 애니캐스트 네트워크에서 광고되어 모든 트래픽을 가장 가까운 스크러빙 사이트로 빨아들입니다. 정화 후 트래픽은 터널(GRE, IPSec, 전용 크로스 커넥트, 또는 직접 피어링)을 통해 오리진 서버로 돌아갑니다. 스크러빙 지연은 보통 동일 리전 내 1-3ms이며, 우회가 추가하는 경로만큼 더해집니다. 항시 활성 스크러빙은 우회를 영구적으로 유지해 방어 시작 시간을 제거하는 대신 일정한 지연 비용을 치릅니다. 온디맨드 스크러빙은 감지된 공격 동안만 우회하므로 더 저렴하지만 공격이 도달하는 30-180초의 활성화 윈도가 발생합니다.
항시 활성 vs 온디맨드 방어
항시 활성 방어는 24/7 모든 트래픽을 스크러빙 계층으로 라우팅합니다 — 활성화 지연은 0이지만 모든 패킷이 작은 지연 비용(보통 1-5ms)을 치릅니다. 온디맨드 방어는 공격이 감지될 때만 활성화되어 정상 시 지연을 제거하지만 활성화 윈도(보통 30-180초) 동안 오리진을 노출합니다. 하이브리드 구성은 둘을 결합합니다 — HTTP/HTTPS는 항시 활성, 원시 IP 트래픽은 온디맨드.
항시 활성과 온디맨드 사이의 선택은 정상 시 지연과 공격 윈도 취약성 사이의 트레이드오프입니다. 지연 민감 서비스 — 멀티플레이어 게임 서버, 저지연 트레이딩, 음성/영상 — 는 정상 시 RTT의 모든 1ms가 비용이기 때문에 보통 온디맨드를 선택하고 활성화 갭을 감수합니다. 공개된 웹 서비스, API, SaaS 앱은 보통 항시 활성을 선택하거나 오리진 IP가 공개되지 않는 완전히 프록시된 CDN 유형의 토폴로지를 선택해 공격 윈도 자체를 제거합니다. 현대 클라우드 엣지 사업자(Cloudflare, Fastly, AWS Shield Advanced, Google Cloud Armor)는 기본적으로 항시 활성에 기울어 있습니다 — 그들의 네트워크는 이미 수백 개의 엣지 위치에서 트래픽을 종단하므로 '우회'가 사실상 0이기 때문입니다.
레이트 리미팅, WAF, 그리고 애플리케이션 계층 방어
레이트 리미팅은 출처 IP별, 세션별, URL별 요청 수를 제한해 정상 트래픽에 영향을 주지 않으면서 7계층 플러드를 약화시킵니다. 웹 애플리케이션 방화벽(WAF)은 HTTP 요청을 규칙 — OWASP Top 10 보호, 맞춤 레이트 규칙, 지역 차단, JS 챌린지, CAPTCHA — 에 비추어 검사합니다. 둘이 함께 작동해 볼류메트릭 스크러빙만으로는 다룰 수 없는 7계층 공격을 처리합니다.
볼류메트릭 스크러빙은 IP와 포트 경계에서 멈춥니다. 진짜 Chrome 트래픽처럼 보이는 HTTP 플러드를 막으려면 URL, 헤더, 쿠키, 행동에 작동하는 규칙이 필요합니다. 레이트 리미팅은 가장 단순하고 효과적인 7계층 통제입니다 — 예를 들어 단일 IP를 /login에서 분당 60건으로 제한하고 나머지는 드롭합니다. WAF는 콘텐츠 인식 규칙으로 더 나아갑니다 — SQL 인젝션 패턴, 비정상 사용자 에이전트, 누락된 리퍼러, 서비스 영역 외 지리적 출처, 정상 범위에서 크게 벗어난 페이로드 크기를 가진 요청을 차단합니다. 현대 WAF(AWS WAF, Cloudflare WAF, Fastly Next-Gen WAF, OWASP Core Rule Set을 갖춘 ModSecurity)는 또한 JavaScript 챌린지, hCaptcha, 봇 핑거프린트 휴리스틱을 실행해 진짜 브라우저에 불편을 주지 않으면서 봇넷 적중률을 99% 이상 떨어뜨립니다.
호스팅 사업자가 보통 포함하는 것 vs 별도 과금하는 것
무료 또는 포함 티어는 보통 기본 레이트 리미팅과 BGP 블랙홀을 사용해 고정된 Gbps 상한(보통 10-100 Gbps)까지의 3-4계층 볼류메트릭 공격을 다룹니다. 유료 추가 옵션은 보통 항시 활성 스크러빙, WAF, 7계층 방어, 맞춤 규칙 작성, SLA 기반 방어 보장을 포함합니다. 계약을 잘 읽으세요 — '무제한 DDoS 보호'는 종종 'X Gbps를 넘으면 널 라우트한다'는 뜻입니다.
호스팅 사업자의 DDoS 마케팅은 천차만별입니다. 진정으로 유용한 보호는 세 가지를 포함합니다: (1) Gbps나 Tbps로 명확히 표기된 용량, (2) HTTP 플러드 방어를 포함한 3-7계층 커버리지, (3) 방어 시작 시간과 트래픽 손실에 대한 약정이 명시된 서면 SLA. 덜 유용한 보호는 용량 숫자 없이 'DDoS 보호' 배지 하나만 있는 경우이며, 이는 보통 BGP 블랙홀만 의미합니다 — 공격 중에 IP가 널 라우트되어 그 기간 동안 오프라인입니다. 평가할 때 다음을 물으세요: IP당 명시된 용량은 얼마인가? 항시 활성인가 온디맨드인가? 7계층을 다루는가? 방어 활성화 시간 SLA는 무엇인가? 공격이 티어 상한을 넘으면 어떻게 되는가? 답은 진짜 보호를 사는지 마케팅 라벨을 사는지 드러냅니다.