Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.
Slowloris DDoS 공격이란?
Slowloris DDoS 공격 설명
Slowloris DDoS 공격은 OSI 모델의 레이어 7을 표적으로 삼는 분산 서비스 거부 공격 종류입니다. 이러한 종류의 사이버 공격은 표적 FQDN에 수많은 동시 TCP 연결을 연 상태로, 연결 세션당 낮은 속도와 볼륨의 HTTP 요청이나 HTTP 연결을 생성해 컴퓨터, 웹 서버, 데이터베이스, API가 과부하되도록 설계되었습니다. 일부 공격 IP는 수많은 TCP 연결을 시도하고 이렇게 추가적으로 열린 연결, 세션과 수신 요청을 결합해 애플리케이션이나 데이터베이스 리소스를 고갈시킵니다. 느리게 움직이는 아시아 영장류인 슬로우로리스(늘보로리스)의 이름을 딴 Slowloris 공격은 탐지하지 못하면 장기간 지속될 수 있습니다. Slowloris 공격은 Anonymous, 이란 정부, Killnet, 기타 공격자 그룹이 사용하는 HOIC(High Orbit Ion Cannon) 및 LOIC(Low Orbit Ion Cannon)와 같은 일반적인 공격 툴 프레임워크를 통해 주류로 진입했습니다. 오늘날에는 이와 동일한 기술을 활용하는 다른 공격자가 나타나고 있으며 이들은 최신 인프라와 명령, 제어를 사용합니다.
Slowloris DDoS 공격은 어떤 목적으로 설계되었을까요?
이러한 종류의 DDoS 공격은 공격자가 매우 낮은 복잡성으로 웹 서버를 중단시킬 수 있는 간단하지만 명쾌한 방법입니다. 이 공격의 더욱 까다로운 점은 기존의 공격과는 다르게 식별이 가능하고 방어 품질을 제어할 수 있다는 점입니다. Slowloris 공격은 최소한의 대역폭으로 구현할 수 있으며, 일반적으로 Python으로 작성됩니다. 이는 대부분의 웹 서버 소프트웨어(특히 Apache 1.x 및 2.x)에 매우 효과적인 것으로 입증되었습니다. 이는 정상적인 요청처럼 보이게 해 방어 필터를 우회하도록 설계되었습니다.
대역폭을 소모하는 반사 기반 DDoS 공격과 달리, Slowloris는 평소보다 느리지만 표준 준수 트래픽처럼 보이는 HTTP 요청을 통해 서버 리소스를 모두 소모하게 만듭니다. 공격자는 클라이언트가 GET 또는 POST HTTP 요청을 여러 패킷 또는 세션으로 분할하는 HTTP 프로토콜의 고유한 기능을 이용합니다. 공격자는 Slowloris를 통해 여러 연결을 최대한 오랫동안 열어 둠으로써 웹 서버를 표적으로 삼습니다. 이는 전 세계적으로 다양한 봇넷 IP 주소에 HTTP 요청을 분산하고 소스별로 TCP 연결을 멀티스레딩하는 방식으로 이루어집니다. 연결을 열린 상태로 유지하기 위해 Slowloris 소프트웨어는 TCP 연결이 시간 초과되기 직전에 각 요청에 대해 HTTP 헤더를 보내 서비스 거부를 유발합니다. 결국, 표적 서버는 동시 연결 풀의 한도에 도달해 다른 요청을 처리할 수 없어 다른 정상 서비스에 대한 서비스를 사실상 거부하게 됩니다. Slowloris DDoS 공격은 LTM(Local Traffic Manager) 또는 TCP 세션 관리를 처리하는 기타 기술과 같은 네트워크 인프라에도 영향을 끼칩니다.
Slowloris DDoS 공격은 왜 효과적일까요?
Slowloris DDoS 공격은 분산형 서비스 거부로 간주되며, 대용량이나 높은 초당 HTTP 요청 속도가 아닌 낮은 초당 요청 속도로 정상 HTTP 요청 패킷을 전송해 기존 침입 탐지 시스템이 탐지하지 못할 수 있습니다. 또한, 요청이 완료될 때까지 로그 파일은 작성되지 않으므로 Slowloris는 로그 파일에 어떤 항목도 나타나게 하지 않아 모니터링하는 그 누구에게도 위험 신호를 보내지 않으면서 일정 시간 동안 서버를 중단시킬 수 있습니다.
Slowloris DDoS 공격과 기존 애플리케이션 DDoS 공격의 차이는 무엇일까요?
기존 애플리케이션 DDoS 공격은 압도적인 HTTP 요청으로 서버를 중단시키도록 설계되었으며 공격자는 상당한 양의 리소스가 필요했습니다. 이와 반대로 Slowloris 공격은 지속적으로 보내는 HTTP 요청 수만 개가 아니라 길고 낮은 일정한 간격의 요청 수백 개만 있으면 됩니다. 대역폭 측정으로는 이러한 종류의 DDoS를 탐지할 수 없습니다. 대신 보안 팀은 표준 연결 시도 횟수, 열린 연결, 연결 풀, 수신 HTTP 요청, 부분 HTTP 요청, 소스 IP 주소당 허용되는 최대 연결 수, 세션 테이블을 유지 관리하는 로드 밸런서, 웹 서버 로깅 인프라, DMZ 전체의 기타 네트워크 또는 시스템 경로를 평가해야 합니다.
Slowloris 공격을 막는 가장 좋은 방법은 무엇일까요?
Slowloris 공격을 방어할 수 있는 방법은 다음과 같습니다.
단일 IP 주소가 열도록 요청할 수 있는 연결 수를 제한합니다.
모든 연결에 최소 전송 속도 허용치를 높입니다.
클라이언트가 연결 상태를 유지할 수 있는 시간을 제한합니다.
서버가 허용하는 최대 클라이언트 수를 늘립니다.
강력한 클라우드 방어 서비스를 배포하고 강력한 부하 분산을 설정하고 웹 애플리케이션 방화벽(WAF) 또는 기타 가상 패치 기술을 사용하고 소스당 요청 수에 대한 비율을 제한합니다.
Slowloris 공격은 어떻게 이루어지나요?
Slowloris 공격은 다음 4단계로 진행됩니다.
공격자는 봇넷이나 역방향 프록시에 명령/제어 지침을 실행합니다. 이는 여러 HTTP 요청, 무작위 헤더, 기타 우회 기술을 전송하는데, 이와 동시에 전역 네트워크에서 표적 서버에 대한 여러 연결을 엽니다.
표적 서버는 각 요청에 대해 TCP 연결을 열고 HTTP 요청이 완료되는 즉시 스레드를 닫으려고 계획합니다. 이 서버는 후속 요청을 위한 스레드를 확보하기 위해 너무 긴 연결은 시간 초과로 처리합니다.
스레드가 시간 초과되는 것을 방지하기 위해 공격자는 표적 웹 서버를 활성 상태로 유지하고자 부분 요청 헤더나 추가 HTTP 요청을 간헐적으로 전송해 서버가 HTTP 요청이 완료될 때까지 기다리도록 효과적으로 유도합니다.
더 많은 HTTP 요청과 TCP 연결이 시작되기를 기다리는 동안 표적 서버는 결국 사용 가능한 연결이 부족해지고 합당한 트래픽의 요청에 더 이상 응답할 수 없어 서비스 거부가 발생합니다.
Slowloris DDoS 공격은 왜 발생하나요?
사이버 범죄자가 공격을 시작하는 이유로는 경쟁자나 적의 웹사이트를 다운시키기 위한 경우, 정치적 핵티비즘 캠페인의 일환인 경우, 진행 중인 더 위험한 다른 보안 침해로부터 주의를 돌리기 위한 경우(연막 공격)가 있습니다. 또한 이 공격은 시그니처와 악용률을 식별하기 어렵기 때문에 흔히 사용됩니다. 이 공격에 대한 방어를 구현하면 오탐률이 높아지고, 웹 서버나 웹 애플리케이션의 다른 모듈에 접속하는 사용자 경험에 영향을 줄 수 있습니다.
Akamai로 복잡한 DDoS 위협에 대한 안정성을 개선하세요
클라우드에서 엣지까지 전 세계에서 가장 분산된 컴퓨팅 플랫폼을 구축한 Akamai는 고객의 애플리케이션 개발과 실행이 용이하도록 도우며 사용자와 가까운 곳에서 경험을 제공하고 위협을 먼 곳에서 차단합니다. Akamai의 컴퓨팅 및 제공 솔루션과 세계적인 IT 보안 제품군은 글로벌 기업이 매일 수십억 명의 삶을 수십억 번 개선하도록 지원합니다.
Akamai의 보안 솔루션은 전용 엣지, 분산 DNS, 클라우드 스크러빙 방어라는 투명한 메시를 통해 DDoS 공격을 방지하고 방어합니다. 이러한 목적에 맞게 구축된 클라우드 솔루션은 공격표면을 줄이고, 품질과 방어를 개선하는 동시에, 오탐률을 줄이면서 방어 효율성을 높이도록 설계되었습니다. 용량, 경험, 다양한 고도의 기술 스택을 통해 고객은 100% 플랫폼 가동 시간과 업계 최고의 방어 SLA를 활용할 수 있습니다.
App & API Protector 솔루션은 고객 중심의 자동화를 통해 종합적인 강력한 보호 기능을 제공합니다. 이 솔루션은 현재 사용 가능한 가장 진보된 애플리케이션 보안 자동화 기능을 제공하며 사용하기에도 간편합니다. 새로운 적응형 보안 엔진과 업계를 선도하는 핵심 기술을 통해 DDoS 방어, API 보안, 봇 방어, 웹 애플리케이션 방화벽을 사용이 간편한 하나의 솔루션으로 구현할 수 있습니다.
Prolexic DDoS 공격을 가장 빠르고 가장 효과적이며 확장성 있게 방어합니다. DDoS 방어용 0초 SLA를 제공하는 Prolexic은 공격 서비스를 사전에 줄이고 네트워크 트래픽에 대한 방어 제어 조치를 맞춤화해 공격을 즉시 차단합니다. 완전 관리형 SOCC를 보유하면 기존 사이버 보안 프로그램을 보완할 수 있으며, 업계에서 입증된 경험을 통해 해결 시간을 개선하는 데 도움이 됩니다.
Web Application Protector 솔루션은 크라우드소싱 인텔리전스를 통해 위협을 탐지해 웹 애플리케이션과 API를 손쉽게 보호합니다. 셀프 튜닝 머신 러닝과 탄력적인 보호가 수고와 오탐률을 줄입니다. 이 Akamai 솔루션은 몇 초 이내에 애플리케이션 계층 공격에 대응해 0초 만의 DDoS 방어를 제공합니다.
Edge DNS 솔루션은 최대 규모의 엣지 플랫폼으로 DNS 중단을 방지합니다. 이를 통해 기업은 보장된 무중단 DNS 가용성을 누릴 수 있습니다. 클라우드 기반 솔루션인 Edge DNS는 응답성을 개선하고 대규모 DDoS 공격을 방어하면서 연중무휴 24시간 DNS 가용성을 보장합니다.
고객이 Akamai를 선택하는 이유
관련 제품
Prolexic
DDoS 공격을 가장 빠르고 가장 효과적이며 확장성 있게 방어합니다.
Edge DNS
보안이 뛰어난 DNS를 활용해 웹 애플리케이션과 API의 지속적인 가용성을 보장합니다.
App & API Protector
웹사이트, 애플리케이션, API에 대한 타협 없는 원스톱 보안
추가 자료
하이브리드 클라우드 환경에서 DDoS 공격 방어하기
모든 DDoS 방어가 동일하지는 않습니다. 역량이 충분치 않은 클라우드 서비스 사업자가 얼마나 많은지, 클라우드 서비스 사업자를 선택할 때는 무엇을 살펴봐야 하는지 확인하세요.
2024년 EMEA 지역의 DDoS 위협
최신 리서치를 통해 EMEA에서 증가하는 DDoS 공격을 효과적으로 방어하는 데 필요한 지식을 얻을 수 있습니다.
악성 DNS 트래픽 분석을 통해 기업의 리스크 노출과 관련해 어떤 사실을 알 수 있을까요?
DNS는 가장 오래된 인터넷 인프라 중 하나입니다. 엄청난 양의 공격 트래픽이 DNS를 통과합니다. 가장 빈번하게 발생하는 관련 위협에 대한 자세한 내용을 이 보고서에서 확인할 수 있습니다.
관련 페이지
아래 페이지에서 관련 주제와 기술에 대해 자세히 알아보세요.