개인 자료란 (JE)

  서버 커뮤니티

Profile gaonlab 대표칭호 없음

High_pingxel 1f39bbba16294f6c89948ac0c6b52e71

Profile

커뮤니티 소통 잡담하기

최근 디도스방어존 원리? 그리고 해당 부분에 대한 내용?

2023.07.15 조회 수 379 추천 수 2

안녕하세요 가온it 입니다.


이번 글은 외부 조언을 들은 토대로 내용을 작성합니다.


Q1. 12Tbps , 3Tbps 이상 공격이 방어가 가능하다?

A1. 네 가능합니다. 

단 한국이 아니라 일본 혹은 기타 다른 지역내에서 가능합니다. 이런 경우 ping 은 약 30ms 에서 50ms 많게는 100ms 이상 올라가게 됩니다.

피어 DB : https://www.peeringdb.com/net/23 (KT)

피어 DB : https://www.peeringdb.com/net/3932 (LG)

피어 DB : https://www.peeringdb.com/net/184 (SK)

위 내용을 참고해주시면, 피어링 된 트래픽 레벨을 확인 하실수 있습니다.

KT 제외하곤 전부 1-5Tbps 정도의 회선을 가지고 있는데.. 한 고객의 공격 방어를 위해 3Tbps ~ 12Tbps 를 꽂는다?

ISP 업계들 비웃습니다. 

(조작 할수 잇다는 는 어떤 업체가 있었는데, 조작 가능하면 비슷하게라도 조작해두시지 왜 ㅎ.. 지금 와서 생각해보니 웃기긴 하네요..)


[추가내용]

2023-07-23 00:00 경 등록한 사용자가 위조 할수 있다는 것을 확인 하였습니다.

ipinfo.io 와 같이 교차 체크후 내용이 다르다면, 믿고 거르시는 것을 추천합니다.



Q2. 한국에 있는데 어떻게 일본을 통해서 방어하나요?

A2.

출처 : Kinx (GRE 방어존)

원리는 간단합니다.

공격이 발생하면 고객 인프라 부분(이 부분이 여러분들이 제공 받는 호스팅사)에서의 라우터가 외부(방어존 회사)에 알림을 보내게 됩니다.

그러면 GRE 터널이 생기고 방어존회사가 BGP(라우팅 프로토콜)을 통해서 고객사 아이피를 배포하고 공격 트래픽을 방어 합니다.

공격트래픽을 제외한 클린트래픽은 GRE 터널을 통해서 고객 인프라로 제공 되게 됩니다.

(ASN 이 필요해집니다.)


GRE 방어존의 경우 가격대는 해외를 통해 하면 비교적 저렴하긴 합니다만... 문제가 생깁니다.


1. 해외 핑 ,한국의 높은 트래픽 가격(상시,공격 발생시만 연결 하는 경우 해당)

(우선 한국핑인 곳에 대해서는 따로 설명해드리겠습니다.)

https://kt-idc.com/colocation/viewcolocationPage

->   KT-IDC 코로케이션 사이트 내용에는 계약 속도의 3% 제공(20Mbps 제한) 1G 이상 시 최초 1G + 20Mbps, 추가 1G 당 10Mbps 제공

이 부분에 대해서는 LG SK 그외에 센터들(세종텔레콤 , 드림라인(드림마크원) ) 도 비슷한 내용을 들을 수 있습니다.

그리고 1Mbps 초과당 3~5 만원 꼴로써, 국내트래픽의 약 10배가 되는 보통 비용이 청구 됩니다.

해당 방어 한정 저렴해질순 있어도 국제트래픽으로 취급되며 높은 비용이 발생 할수 있을 분만 아니라... 해외핑이 발생하여 게임에 지장이 생길 수도 있습니다.(기본적으로 게임은 50ms 이상이면 플레이에 지장이 있다고 합니다.)


2. 국내 핑 이라면..? (공격 발생시만 연결 하는 경우 해당)

-> 이런 경우 아래에 해당합니다.
 공격이 발생하면 고객 인프라 부분(이 부분이 여러분들이 제공 받는 호스팅사)에서의 라우터가 외부(방어존 회사)에 알림을 보내게 됩니다.

공격이 발생하면 터널링 맺어서 처리하는 방법인데.. 이 방법에도 치명적인 문제가 생깁니다.

'국내 선차단' 이라는 건데, 앞서 말씀 드렸 듯 우리나라 KT 는 10~20Tbps , SK / LG 는 1-5Tbps 가 전체 피어링 양입니다.

센터당은 이것보다 당연히 적습니다. 따라서 센터 입장에서는 공격이 들어오면 다른 고객사에 피해를 최소화 하기 위해서 선차단 조치하는 것이 당연 할 것입니다.   근데 선차단을 진행하면, GRE 터널링 되어도 접속이 안되는 경우가 발생합니다.


3. 내용에 근거

-> 백문불여일견 

그냥 사용해보세요. 사용해보시면 이해가 될껍니다.

방어존이라고 했는데 저녁마다 다운타임이 발생하거나 3시간~5시간 이상씩 다운타임이 발생한다는 건.. GRE 방어존이 잘 작동 안했다는 것으로 이해 하시면 될 것 같습니다. (국내자체로는 3Tbps 이상 막기 힘듭니다.. )

방어존이라는 개념은 다운타임을 최소화 해야 하는데 이것으로 다운타임이 지속적으로 발생한다면 방어존을 사용할 이유가 없는 것이지요.



마지막으로 tip 을 말씀 드리겠습니다.

1. ASN 을 조회해보자

-> 한국 ip / 해외 ip 무의미 합니다. 그냥 asn 을 조회해보시면 됩니다.

whois 를 통해서는 IP 를 먼저 검색 후, 추가 조회를 통해서 ASN 정보를 확인 할 수 있습니다.

https://후이즈검색.한국/



 



ipinfo

https://ipinfo.io/[ip주소(or 범위)] 치시면 되는데요..

이렇게 볼수 있는데.. 필요한건 ASN 입니다.


2. peeringdb 를 조회하라.

https://www.peeringdb.com/ 에 접속해서, 그에 대한 ASN 을 조회 해보시면 됩니다.

최근 자주 쓴다는 path 입니다.(여기도 1-5Tbps.. 정도인데 12Tbps 를 어떻게 막는지는 물어볼 예정입니다.)

- 지금 몇군대 조사하다 확인 해보니.. public perring exchange points 가 안나오는 곳이 있는데요, 안 나온다고 해도 ipinfo 를 통해 가능합니다. 

접속 방법 :  ipinfo.io/as번호  -> 클라우드플래어 : ) https://ipinfo.io/AS13335 

이렇게 하시면 traffic levels 랑 ipinfo 나오는 peer 을 통해서 확인을 하시면 대략 어디랑 피어가 되어 있는지..  대역폭량은 어느정도 인지 확인 가능합니다. 

traffic levels 가 5Gbps - 10Gbps 정도로 나온다고 해도 peer 된 곳을 확인 하여, 실제로 방어가 작동 되는지 확인이 가능합니다.

(다만.. 국내 핑으로 나온다면 실제 방어량은 홍보한 것보다 몇퍼센트도 안될 수도 있습니다.)


 ICMP 를 막아놔서 ping 이 안될때 :  https://handyhelper.tistory.com/149
-> TCP 기반 프로토콜로 ping 테스트를 할 수 있습니다.


긴글 읽어주셔서 감사합니다!

다음에도 도움되는 글을 작성하겠습니다!





2개의 댓글

세찐찐
2023.07.16

좋은 정보 감사합니다

gaonlab
2023.07.16
@세찐찐

감사합니다 : )