예, 블랙홀 라우팅은 소규모 네트워크와 대기업 모두의 특정 보안 요구사항에 맞게 조정할 수 있으며 사용자 지정할 수 있습니다.
RTBH(Remote Triggered Blackhole) 라우팅은 블랙홀링이라고도 하며, ISP(인터넷 서비스 사업자)나 네트워크 관리자가 DDoS(Distributed Denial-of-Service) 공격을 방어하기 위해 배포하는 방어 조치 중 하나입니다. 블랙홀 라우팅은 내부 게이트웨이 프로토콜 도메인을 통해 악성 트래픽이나 원치 않는 트래픽을 ‘블랙홀’(null0과 같은 무효 인터페이스)로 리디렉션해 영구적으로 삭제합니다. DDoS 공격이 발생하면 네트워크 관리자는 특정 소스 IP 주소에서 또는 특정 대상 IP 주소로 전송되는 모든 트래픽을 블랙홀로 신속하게 리디렉션할 수 있습니다. RTBH는 주로 공격 트래픽을 기업 WAN(Wide Area Network)의 인터넷 경계에서 벗어나도록 이동시켜 DDoS가 인터넷 포트나 연결을 고갈시키지 못하도록 설계되었습니다. RTBH 기능은 대상 IP 기반이며, RTBH를 통한 소스 IP 기반 필터링이 필요한 경우 uRPF(Unicast Reverse Path Forwarding)를 사용하도록 설정해야 합니다. 인터넷 전송 연결이나 ‘링크’의 양쪽 모두에 적용해야 하며, 소스 IP 기반 RTBH를 달성하려면 uRPF를 느슨한 모드나 엄격한 모드로 활성화해야 합니다.
트래픽 블랙홀 라우팅은 DDoS 공격처럼 원치 않는 트래픽에 맞서 사용되는 여러 대응책 중 하나입니다. 블랙홀 라우팅은 트래픽을 무효 또는 폐기 인터페이스로 리디렉션합니다.
DDoS 공격이란 무엇일까요?
DDoS 공격은 서버, 서비스 또는 네트워크를 표적으로 삼는 악성 행위입니다. DDoS 공격은 표적에 트래픽을 폭증시켜 리소스와 대역폭을 고갈시킵니다. 그 결과, 표적의 속도가 느려지거나 충돌이 발생해 정상적인 트래픽을 처리하지 못할 수 있습니다. DDoS 공격은 일반적으로 봇넷( 멀웨어에 감염되어 공격자의 통제하에 있는 컴퓨터와 디바이스의 네트워크)에 의해 수행되며, 표적에 트래픽을 폭주시키도록 지시할 수 있습니다. 하지만 봇넷에는 수백 또는 수천 개의 디바이스가 포함될 수 있으므로, 보안 방어 시스템으로 공격을 탐지하고 방어하기 어려울 수 있습니다. 일반적인 DDoS 공격에는 ICMP 플러드, SYN 플러드, Slowloris 공격, HTTP 플러드등이 있습니다.
블랙홀 라우팅은 어떻게 작동하나요?
블랙홀을 이용한 DDoS 공격을 차단하기 위해 관리자는 라우터가 트래픽을 무효 인터페이스로 리디렉션해 트래픽을 효과적으로 삭제하도록 설정합니다. 이는 일반적으로 네트워크의 인터넷 포트 용량이 프로덕션 서비스의 대역폭을 위태롭게 하지 않으면서 공격을 감당할 만큼 충분하지 않기 때문에 발생합니다.
ISP와 네트워크 관리자는 여러 가지 블랙홀 라우팅 방지 기술을 사용해 악성 DDoS 트래픽이 의도한 표적에 도달하지 못하도록 차단할 수 있습니다. 이러한 IP 라우팅 방법은 소스 또는 대상 IP 주소에 따라 트래픽을 리디렉션할 수 있습니다.
- 정적 블랙홀 라우팅 은 라우터를 수동으로 설정해 특정 IP 주소에서 오거나 특정 IP 주소로 향하는 트래픽을 차단하는 방식입니다. 이 정적 라우팅 기법은 악성으로 알려진 IP 주소의 트래픽이 서버를 표적으로 삼지 못하도록 효과적으로 차단합니다.
- BGP 블랙홀 라우팅 은 대상 기반 패킷 필터링 기술로, BGP(Border Gateway Protocol)를 사용해 특정 IP 주소에 대한 블랙홀 경로를 BGP 네트워크 내의 다른 라우터에 ‘광고’하거나 전달하는 기술입니다.
- RTBH(Remote Triggered Blackhole) 필터링은 일반적으로 대상 IP 주소를 기반으로 트래픽을 차단합니다. RTBH 필터링도 BGP를 사용하지만, 보다 제어되고 표적화된 접근 방식을 제공해 네트워크 관리자는 전체 네트워크에 영향을 주지 않고 특정 호스트나 서브넷에 대한 공격을 방어할 수 있습니다.
- Flowspec BGP 블랙홀 라우팅 은 트래픽 필터링에 대한 훨씬 더 세분화된 접근 방식을 제공합니다. 이 기술을 통해 관리자는 정상적인 네트워크 트래픽은 목적지에 도달하도록 허용하면서 범위를 좁혀 악성 트래픽을 표적으로 삼는 데 도움이 되는 추가 매개변수를 지정할 수 있습니다.
- 스팸 필터링용 차단 목록 은 블랙홀링에도 사용할 수 있습니다. 차단 목록에는 스팸 또는 악성 트래픽을 전송하는 것으로 알려진 IP 주소가 포함되어 있습니다. 차단 목록에 있는 IP 주소에서 이메일 서버로 트래픽이 도착하면 자동으로 삭제되거나 검토를 위해 격리됩니다.
- 대상 기반 IP 필터링 은 일반적으로 네트워크에서 원치 않는 트래픽을 삭제하는 데 사용됩니다. 이는 단일 호스트 라우터 또는 네트워크 내의 ‘모든’ 라우터에서 수행할 수 있습니다. RTBH는 패킷이 네트워크를 통과하는 방향(인바운드 수신 또는 아웃바운드 송신)에도 적용될 수 있습니다.
블랙홀 라우팅의 장점은 무엇일까요?
블랙홀 라우팅은 DDoS 공격을 방어하고 다른 악성 트래픽을 차단하는 대체 수단이 될 수 있습니다. 블랙홀링은 특정 IP 주소로 향하는 트래픽을 폐기해 네트워크 성능을 개선하고 혼잡을 줄일 수 있습니다.
블랙홀 라우팅의 단점은 무엇일까요?
블랙홀 라우팅은 정상적인 트래픽도 리디렉션할 수 있기 때문에 DDoS 방어 기법으로 인해 정상적인 사용자 및 트래픽이 인터넷 기반 서비스나 웹 애플리케이션을 사용할 수 없게 될 수 있습니다. 또한, 트래픽의 특성에 대한 인사이트를 거의 제공하지 않아 보안 팀이 트래픽의 출처나 방어 기법의 효과를 파악하기가 어렵습니다. 로깅이나 수행된 작업에 대한 가시성이 부족하기 때문에 오탐 문제가 발생할 수 있습니다. 공격의 규모에 따라 블랙홀 라우팅은 RTBH 기능을 활성화한 네트워크 사업자의 피어 네트워크 성능에 영향을 미칠 수 있습니다.
블랙홀 라우팅이 DDoS 공격에 대한 효과적인 방어 수단인가요?
DDoS 블랙홀 라우팅은 악성 트래픽을 IP 주소로부터 효과적으로 리디렉션할 수 있지만, 실제로 효율적인 방어 방식이라고 할 수는 없습니다. 블랙홀링은 정상적인 트래픽도 리디렉션할 수 있기 때문에 표적 자산을 오프라인으로 전환해 공격자의 임무를 완수하게 할 수 있습니다. ISP의 인프라에 따라 다른 고객도 성능 저하를 경험하거나 오프라인 상태가 될 수 있습니다. 이러한 이유로 대부분의 기업은 정상적인 트래픽을 방해하거나 다운타임을 유발하지 않는 보다 효과적인 DDoS 방어 수단을 도입하려고 합니다.
자주 묻는 질문(FAQ)
블랙홀 라우팅은 악성 트래픽을 네트워크에서 우회해 잠재적인 DoS 또는 DDoS 보안 이벤트가 프로덕션 서비스에 영향을 미치는 것을 방지하는 사후 대응 수단으로 사용됩니다.
블랙홀 라우팅은 위협을 식별하고 차단하는 데 중점을 두는 기존 보안 조치와 달리 악성 트래픽을 가상의 ‘블랙홀’로 리디렉션해 잠재적 위협을 격리하고 무력화합니다.
블랙홀 라우팅은 완전한 해결책은 아니지만, 포괄적인 사이버 보안 전략의 한 가지 툴로서 다양한 사이버 위협에 대한 추가적인 방어 레이어를 제공합니다.
발생 가능한 한 가지 단점은 정상적인 트래픽이 잘못 식별되어 우회될 수 있는 오탐 리스크입니다. 또한, 보고 및 가시성 부족으로 인해 사용 중인 방어 기능의 품질이나 일관성에 대한 우려가 제기될 수 있습니다. 이러한 리스크를 방어하려면 신중한 설정과 추가 모니터링이 필수적입니다.
블랙홀 라우팅의 효과를 보장하려면 정기적인 업데이트가 중요합니다. 사이버 위협은 진화하기 때문에 이에 대응하려면 지속적인 모니터링과 설정 조정이 필요합니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업으로, 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층 방어 기능을 제공한다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공한다. 글로벌 기업들은 비즈니스 성장에 필요한 업계 최고의 안정성, 확장성, 전문성을 제공하는 Akamai를 믿고 신뢰한다.