안녕하세요 가온IT 입니다.
최근 디도스방어존에 대한 호스팅이 많아 지고 있습니다.
Q1. 디도스방어존? 이게 뭐지?
-> 패킷테러 / 대역폭 공격(l3~l4 공격) 을 통하여 네트워크의 수송신을 방해하는 네트워크 또는 자원고갈(cpu 등) 공격을 의미 합니다.
이 공격을 당하면 보통 직권해지 혹은 일부네트워크차단(저희 기준) 으로 진행을 하지요.
Q2. 일반적으로 디도스방어존은?
-> 기업적으로 전문 호스팅의 경우는 1ip 당 싸게는 30만원(UDP,ICMP 원천차단 , TCP 방어불가) 정도, 비싸게는 100만원 이상에 납품하는 초고가 상품입니다.
저희 같을 경우 기존 업체에서 테스트상품으로써 UDP + TCP 10Gbps 정도의 공격을 방어 해주었으나, 공격량이 10Gbps 가 심상치않게 넘어 센터이동 후 클라우드플래어로 변경을 하였죠.
다만 가격이 저렴한 업체들이 하나둘 생겨났는데... 이부분이 바로 Q3 에서 말하는 방어존 입니다.
Q3. 그런데 10만원도 안하는 방어존이 등장했는데 어떻게 가능한가요?
-> 저희가 최근 ASN 을 발급 받은 이유가 해당 사유가 약간은 있긴 합니다만.. 방어 방식은 아래와 같습니다.
1. 평시 상태에선 다이렉트로 IDC 망에 연결한다.
2. 디도스 공격이 발생시 라우터에서 외부에 알리고(공격을) GRE을 통해 방어업체와 연결한다.(공격이 아니더라도 바로 GRE 로 터널링하고,방어를 바로 진행 해도 됩니다.)
3. 원래 가지고 있던 대역을 방어회사에서 BGP(방송,어나운스 라고 표현한다) 하고 정상적인 패킷을 GRE로 원본 아이피회사로 데이터를 보낸다.
이렇게 진행하면 80만원~275만원 254개(C class 이상 단위만 방어가 됩니다.)를 방어를 할 수 있게 된다는 장점이 있습니다..
(물론 회선 사용량에 따라 달라지겠지만.. 100mbps 이하의 경우에 해당함.....)
그러나 이부분에 대해서 네트워크엔지니어(저희가 입주한 IDC) 분과 이야기 해본 결과.. 약간 다른 내용으로 받았습니다.
10Gbps 가 넘어가면 방어가 안될거라는 것.. 계약에 따라 다르겠지만 SK-IDC 에서 차단을 해버리면 당연히 안된다는 것..
여기서 의문이 생깁니다.
저희가 입주한 회사는 대기업 계열에 속한 업체로써, 높은 대역폭을 사용하는 회사입니다.
백본도 10G 이상 있을테고요.. 자체적으로 말이죠(조회시 트래픽 레벨이 50-100Gbps 네요.. 저희가 쓰는 업체는)
10Gbps 오는건 문제가 안될텐데 왜 차단을 하는 것일까..?
외부에서 1분정도? 흐르는 양을 확인하면 외부에서 처리를 할텐데 왜..?
이런 생각이 드실껍니다.
그 이유에 대해서 설명 해드리겠습니다.
1. 10Gbps 가 온다고 해도 50~100Gbps 의 10% 를 저희가 사용하게 되는 겁니다.
비용을 과다하게 내야하는 문제는 당연히 생기고 비싼가격(275만원) 의 경우에는 SK-IDC 라 국내회선이라 실시간연동하는 것은 문제가 없겠지만..
나머지는 해외라서 핑이 높아지는 문제가 있습니다. 최근 많이 쓰는 path 도 도쿄스크로빙센터에서 방어를 한다고 하니까요.(참고로 해외트래픽은 계약량의 3% 만 허용합니다.)
이부분을 쉽게 말하면 비용이 과다하게 나오는 지름길이 되기 때문에, 오히려 안쓰는 것이 나을수도 있습니다..(참고로 같은 해외트래픽비용은 국내트래픽의 10배 정도 차이가 납니다)
2. 10Gbps 이상 오는건 문제가 안될순 있지만.. 통상적으론 문제가 발생하게 됩니다.
천천히 증가하면 우회할 시간이 생기기에 문제가 없지만.. 국내 대부분의 업체가 10Gbps 이상의 백본을 계약하지 않습니다.(이정도도 사실 몇백~몇천이긴 합니다.)
(참고로 Public Peering Info Updated 2023-07-13T03:59:40 기준 SK BroadBand 가 1-5Tbps 입니다)
회선을 10Gbps 를 통신사에서 내려줬을때.. 그 10Gbps 를 여러회사가 나눠서 쓰는 경우가 있습니다.(10Gbps 회선 하나를 1Gbps 로 나누고 10명 주면 그게 dedication 이니까요)
이경우 같은 회선을 쓰는 사람이 공격을 당하면 다른 사람에게 역시 피해를 입히게 되겠죠..?
해외라면 그냥 해외망만 싹둑 하면 되겠지만.. 너무 자주 발생하면 다른 서비스에도 영향이 발생 할수 있기 때문에 공격이 유입된 서비스를 그냥 null routing 처리하는게 대부분입니다.
이 두가지 내용이 아니더라도 지속적인 방어가 가능한 방법이 하나 더 있긴 합니다.
바로 상시로 방어를 하는 것(즉 GRE 를 연결을 계속 하는 것) 입니다.
이 경우도 그런데 문제가 발생합니다.
통과되어 발생하는 트래픽은.. 바로 국내가 아닌 해외로 발생 한다는 것..
해외로 발생하면 어떻게 되느냐? -> 1Mbps 당 30000원 정도의 비용이 발생합니다.(KT 의 경우 1Gbps 계약하면 20Mbps 정도의 해외망을 줍니다.)
보통 마인크래프트가 동접 40명 정도 되는 서버가 40Mbps 정도.. 사용하니까.(40명 전원 active )
이경우 40Mbps 를 사용하면 약 120만원 정도가 발생하겠군요.
물론 고객사분께서의 선택이겠지만.. 모든 사업체는 이익을 추구 하는 사업체입니다.
가격이 싼 대신 다운타임이 지속적으로 일어나는 곳을 사용하느냐, 아니면 비싸더라도 다운타임이 거의 없는 안정적인 곳을 사용하느냐..
이부분에 대해서는 저희도 사업체이기에.. 고객분들께 강요는 못하나..
안정적으로 유지가 되는 업체라면, 저가업체보다 비싸더라도 안정적인 업체를 사용하는것이 좋지 않을까요?
긴글 읽어주셔서 감사합니다!
댓글 달기