DDoS 대응

차단 한 번이 아니라 탐지부터 재발 방지까지 이어지는 운영 절차

DDoS는 공격 규모와 출발지가 계속 바뀌기 때문에, 먼저 증거를 모으고 유형을 좁힌 뒤 차단·완화, 우회·분산, 복구, 사후 분석을 순서대로 연결해야 한다.

초기 판단 기준

증상 트래픽 급증, 지연, 장비 알림, 다수 IP 동시 접속
범위 대상 서비스, 네트워크 구간, 웹 계층, 서버 자원
목표 서비스 가용성 회복과 공격 패턴의 재사용 차단

대응 단계표

징후 확인에서 재발 방지까지
순서 단계 확인할 증거 주요 조치
01 탐지 트래픽 급증, 서비스 지연, 장비 경보, 에러율 증가 평소 기준선과 비교해 비정상 구간을 고정한다.
02 분석 출발지, 프로토콜, 요청 URL, 패킷 크기, 세션 지속 시간 SYN, UDP, HTTP, Slow, 반사 증폭 여부를 좁힌다.
03 차단·완화 비정상 IP, 과도한 요청률, 의심 User-Agent, 악성 패턴 방화벽, IPS, ACL, Rate Limiting, WAF 정책을 적용한다.
04 우회·분산 단일 회선 포화, 특정 리전 집중, 방어 장비 한계 CDN, Anycast, 로드밸런서, DDoS 방어센터로 트래픽을 분산·정화한다.
05 복구 응답 시간, 정상 요청 성공률, 서버 자원, 큐 길이 서비스 상태를 정상화하고 임시 차단 정책의 부작용을 점검한다.
06 사후 분석 로그, 방어 장비 이벤트, 공격 시작·종료 시각, 피해 범위 공격 패턴과 대응 시간을 정리해 절차의 빈칸을 찾는다.
07 재발 방지 정책 누락, 용량 한계, 모니터링 사각지대, 연락 체계 정책 보강, 용량 증설, 알림 기준 개선, 대응 훈련으로 이어간다.

공격 유형별 첫 대응

분석 결과에 따라 조치가 달라진다
유형 관찰 지표 우선 조치
SYN Flood 반쯤 열린 TCP 연결과 SYN 요청 급증 SYN Cookie, 큐·타임아웃 조정, 연결률 제한
UDP·ICMP 대역폭 포화와 단순 패킷 대량 유입 불필요한 포트 차단, ACL, 대역폭 기반 제한
HTTP Flood 특정 URL, 세션, User-Agent 요청 폭증 WAF, 캐싱, IP·세션별 Rate Limiting
반사·증폭 피해자 IP로 위조된 대량 응답 트래픽 ISP·방어센터 연계, 오픈 리졸버 차단 요청

시험 답안 핵심

순서 탐지, 분석, 차단·완화, 우회·분산, 복구, 사후 분석, 재발 방지를 빠뜨리지 않는다.
근거 트래픽 급증, 서비스 지연, 로그, 출발지, 패킷 특성처럼 관찰 가능한 증거를 붙인다.
기술 방화벽, IPS, ACL, Rate Limiting, CDN, Anycast, DDoS 방어센터를 상황별로 연결한다.
마무리 정상화 이후 로그 분석과 정책 개선까지 써야 운영 대응으로 완성된다.