박문형 2017-12

하드웨어 방화벽이 있어도 DDOS 공격 재대로 맞으면 차단 못합니다..

DDOS 안전 존 같은 경우 DDOS를 견딜수 있는 하드웨어 방화벽을 수십-수백개 쌓아서 막아내는 구조이며 이것도 용량 초과면

답이 없습니다..

시도니 2017-12

IPv4 상에서는 현존하는 어떠한 기술로도 사실상 100% 완벽하게 DDoS 를 차단하는 것이 불가능 합니다.

왜냐하면 DDoS 라는 것의 어원이 서비스 거부 공격이듯이 서비스를 진행다하다 정상적으로 종료하는 행동을

서버가 허용하는 한 가장짧게 그리고 여러곳에서 한다면 답이 없어진다는 것입니다.

좀 더 쉽게 이야기 하면 익스플로러 100개의 창을 100명이 동시에 열었다가 동시에 닫으면 10000명접속했다가 끈게 됩니다.

이런 아주 단순한 액션만으로도 서버들한테는 치명적입니다.

그렇기 때문에 세션을 컨트롤 하거나 비정상 SYN 을 끈는 공격이나 브로드캐스팅 공격을 막는 기술이 나와 있습니다만..

결론적으로 이야기 하면, 그것은 책을 보고 공부하는 수준의 공격/대응법일 뿐 공격과 방어의 개념을 공부하기 위한 수준입니다.

물론 그 대로도 무척 효과적인 공격법이긴 합니다만, 대부분의 해커들은 그런 공격을 하지 않거나, 중복이상의 기술을 섞어서

하지요.

그렇기에 일반적인 정적인 방화벽 동적방화벽 IPS/IDS 등등으로도 DDoS 를 현실적으로 100% 막아내기는 어렵습니다.

그래도 막는 시늉은 해야 하기 때문에, 저런 장비들이 효과가 있다고 광고를 하는 것이고 어느정도 믿고 사는 것이지요.

전문가들도 잘 압니다. 이게 모든 위치에서 우리 서버를 그리고 DDoS에서 완벽하게 자유롭게 해줄 수 없다는 것을요.

특히, 싸구려 정적 방화벽이나 저렴이 UTM 장비로는 택도 없습니다.

없는 것보다야 낫겠지만 현실적으로 DDoS를 100% 막는 것은 어렵다고 봐야지요.

또리군 2017-12

DDOS 공격에도 다양한 패턴이 있는데 고전적인 방법으로는 대역폭을 점유하고 들어오는 관계로 어지간한 방화벽가지고는 버티질 못합니다.
회선도 여력이 있어야 하고 장비도 일정 규모 이상이어야 방어라는게 가능합니다.