DDOS LAYERS

DDoS는 계층마다 병목이 다르다

공격이 대역폭을 채우는지, 연결 상태를 고갈시키는지, 애플리케이션 비용을 폭증시키는지에 따라 방어 지점이 달라진다.

L3 bandwidthL4 stateL7 cost

L3/L4 FloodUDP flood, ICMP flood처럼 회선과 장비 처리량을 압박한다.

State ExhaustionSYN flood처럼 연결 상태 테이블과 핸드셰이크 비용을 소모시킨다.

L7 Request Flood검색, 로그인, 이미지 변환처럼 서버 비용이 큰 요청을 반복한다.

흡수ISP/Cloud Scrubbing

대역폭 공격은 서비스 가까이보다 네트워크 앞단에서 먼저 흡수해야 한다.

분산Anycast/CDN

트래픽을 여러 지역 엣지로 분산해 단일 지점 집중을 줄인다.

절감Application Cost

비싼 API에는 캐시, 큐, 제한, 비동기 처리가 필요하다.