1. AWS Shield를 통한 DDoS 대비
복원성 강한 AWS 보안 아키텍처 구성

2. 목차
 디도스 공격이란?
 디도스 공격 대응의 어려움
 디도스 방어를 위한 AWS의 접근방법
 관리형 디도스 방어 서비스로서의 AWS Shield 소개
 Shield Advanced 데모

3. 디도스 공격이란?

4. 디도스 공격이란?
Distributed Denial Of Service

5. 디도스 공격의 유형

6. 디도스 공격의 유형
물량기반 디도스 공격
정상적으로 처리할 수 있는 수준을 상회하는
트래픽을 전송하여 네트웍 기능을 마비시킴
(e.g., UDP reflection attacks)

7. 디도스 공격의 유형
상태 소진 형 디도스 공격
프로토콜 특성을 악용하여 방화벽, IPS,
로드밸런서 같은 시스템을 무력화
(e.g., TCP SYN flood)

8. 디도스 공격의 유형
어플리케이션 레이어 기반 디도스 공격
정상 요청으로 가장하지만, 방어수단을 우회하고
어플리케이션 리소스를 소진하기 위한 악의적인
요청을 통한 공격
(e.g., HTTP GET, DNS query floods)

9. 디도스 공격의 트랜드
Volumetric State exhaustion Application layer
65%
물량기반
17%
상태 소진형
18%
어플리케이션
레이어

10. 디도스 공격의 트랜드
Volumetric State exhaustion Application layer
65%
물량기반
17%
상태 소진형
18%
어플리케이션
레이어
SSDP reflection 공격이
가장 흔한 유형
Reflection 공격은 분명한
시그니쳐가 있으며, 가용
밴드위쓰를 전부 점유하는
형태임

11. 디도스 공격의 트랜드
Volumetric State exhaustion Application layer
65%
물량기반
17%
상태 소진형
18%
어플리케이션
레이어
다른 유형의 물량 기반 공격들:
NTP reflection, DNS reflection,
Chargen reflection, SNMP reflection

12. 디도스 공격의 트랜드
Volumetric State exhaustion Application layer
65%
물량기반
17%
상태 소진형
18%
어플리케이션
레이어
정상적인 커넥션 시도처럼
가장한 SYN flood
흔히 대규모로 발생하며, 일반
사용자의 정상적인 이용을 방해함.

13. 디도스 공격의 트랜드
Volumetric State exhaustion Application layer
65%
물량기반
17%
상태 소진형
18%
어플리케이션
레이어
정상적인 DNS 요청을
가장한 DNS query
flood
보통, DNS서버의 가용성을
훼손하기 위해 수시간 동안
지속됨.

14. 디도스 공격의 트랜드
Volumetric State exhaustion Application layer
65%
물량기반
17%
상태 소진형
18%
어플리케이션
레이어
다른 유형의 어플리케이션
레이어 공격들:
HTTP GET flood, Slowloris

15. 디도스 공격 대응의 어려움

16. 디도스 공격 대응의 어려움
적용이 어려움
복잡한 구성절차 충분한 밴드위쓰 확보 어플리케이션
아키텍쳐 재 구성

17. 디도스 공격 대응의 어려움
수작업 대응 과정
공격 대응에
필요한 관계자
참여 과정
원격에 있는
정제장소를
경유토록 트래픽
라우팅 변경
대응 시간의
증가
전통적인
데이터센터

18. 디도스 공격 대응의 어려움
트래픽 라우팅 변경 = 사용자 지연시간 증가
전통적인
데이터센터

19. 디도스 공격 대응의 어려움
비싼 사용료

20. 디도스 방어를 위한 AWS의 접근방법

21. 디도스 방어를 위한 AWS의 접근방법
https://d0.awsstatic.com/International/ko_KR/whitepapers/DDoS_White_Paper.pdf

22. AWS가 지향하는 목표는…
획일적인 대규모 변경 필
요성 제거
통상적인 공격 형태에 대한
자동화된 보호
가용성에 대한 확신
높은 가용성을 제공하는
AWS 서비스들

23. AWS에 적용된 디도스 방어체계
• AWS 글로벌 인프라에 적용
• 상시 운영, 외부 라우팅 없이 신속한 방어
• 여분의 AWS 데이터 센터 인터넷 연결성

24. AWS에 적용된 디도스 방어체계
• 가장 흔한 공격 유형들 방어
• SYN/ACK Floods, UDP Floods,
Refection attacks 등.
• 별도 비용 없음
디도스 대응
시스템
디도스 공격
사용자

25. 고객들은 여전히…
AWS가 고객별로
디도스 공격을
방어해 주나요?
대규모로 디도스
공격이 발생하면 어찌
됩니까?
공격받을 때 어떻게
알 수 있죠?
AWS가 어플리케이션 레이어
공격도 방어합니까?
공격에 따른
스케일링 비용이
걱정되요
디도스 전문가와
상의하고 싶어요.

26. 관리형 디도스 방어 서비스로서의
AWS Shield 소개

27. AWS Shield
Standard Protection Advanced Protection
추가비용 없이 모든 AWS
고객에게 적용됨
추가적인 보호와 기능 및
잇점을 제공하는 비용 기반
서비스.

28. AWS Shield
AWS 연계성
인프라 구성을 변경
할 필요없이 디도스
방어 기능 적용 가능
적절성
비용과 가용성 간에
저울질할 필요없음
유연성
여러분의 어플리케
이션에 대한 맞춤식
보호
상시탐지 및 대응
어플리케이션
지연시간의 영향 최소화
4가지 주요 특징들…

29. AWS Shield Standard
레이어 3/4 보호
 자동 탐지 및 대응
 가장 흔한 공격유형에 대한
방어 (SYN/UDP Floods,
Reflection Attacks, 등)
 AWS 서비스에 밀결합
레이어 7 보호
 레이어 7 디도스 공격 대응을
위해 AWS WAF 활용
 셀프서비스 및 사용량 과금

30. AWS Shield Standard
AWS상에서 운영되는 여러분들의 어플리케이션에 대한 보다 나은
보호
• 독자적인 BlackWatch 시스템을 이용한 향상된 방어
• 추가적인 방어 여력
• 탐지 및 방어 수준의 지속적인 향상에 대한 약속
• 추가비용 부담 없음

31. AWS Shield Advanced
Application Load Balancer
Classic Load Balancer
Amazon CloudFront
Amazon Route 53
다음 서비스들에 적용 …

32. AWS Shield Advanced
다음 리전에서 이용 가능 …
US East (N. Virginia) us-east-1
US West (Oregon) us-west-2
EU (Ireland) eu-west-1
Asia Pacific (Tokyo) ap-northeast-1

33. AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호

34. AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호

35. AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호

36. AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호

37. AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호

38. AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호

39. 상시 모니터링 및 탐지
네트웍 플로우
모니터링
어플리케이션 트래픽
모니터링

40. 상시 모니터링 및 탐지
시그니쳐 기반 탐지 휴리스틱 기반
비정상 상태 탐지
기본 패턴 비교

41. 상시 모니터링 및 탐지
다음과 같은 속성을 기반으로 비정상 상태 탐지:
• 소스 IP
• 소스 ASN
• Traffic levels
• 검증된 소스
휴리스틱 기반 비정상 상태 탐지

42. 상시 모니터링 및 탐지
평상시 트래픽 패턴을 기준으로 상시 비교:
• 초당 HTTP 요청 수
• 소스 IP 주소
• URLs
• User-Agents
기본 패턴 비교

43. AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호

44. 고도화된 디도스 방어
레이어 7
어플리케이션 방어
레이어 3/4
인프라 방어

45. 고도화된 디도스 방어
레이어 7
어플리케이션 방어
레이어 3/4
인프라 방어

46. 레이어 3/4 인프라 방어
고도화된 방어 기법들
필터링 규칙 점수 기반 트래픽
처리 순위화
고도화된
라우팅 정책

47. 레이어 3/4 인프라 방어
비정상적인 TCP패킷을 자동으로 필터링:
• IP checksum
• TCP valid flags
• UDP payload length
• DNS request validation
필터링 규칙

48. 레이어 3/4 인프라 방어
낮은 의심도의 속성들
• 정상적인 패킷 혹은 요청 헤더
• Traffic composition and volume is
typical given its source
• 목적지가 검증된 트래픽
높은 의심도의 속성들
• 의심스러운 패킷 혹은 요청 헤더
• 헤더 속성의 트래픽 복잡도
• 트래픽 소스와 볼륨의 복잡도
• 트래픽 소스의 나쁜 평판
• 목적지가 틀린 트래픽
• ‘cache-busting’속성을 가진 요청
점수 기반 트래픽 처리 순위화

49. 레이어 3/4 인프라 방어
• 인라인 방식의 점검 및 점수화
• 낮은 순위(공격으로 의심되는) 트래픽에 대한 우선 제거
• 오탐 회피와 적법한 사용자 보호
점수 기반 트래픽 처리 순위화
높은 의심도 패킷 드랍
낮은 의심도 패킷 유지

50. 레이어 3/4 인프라 방어
• 분산된 정화 처리 및 밴드위쓰 용량
• 대규모 공격을 흡수할 수 있는 자동화된 라우팅 정책
• 필요시, 수작업 트래픽 처리
고도화된 라우팅 정책

51. 고도화된 디도스 방어
레이어 7
어플리케이션 방어
레이어 3/4
인프라 방어

52. AWS WAF – 레이어 7 어플리케이션 방어
커스텀 규칙
기반 웹 트래픽
필터링
악의적인 요청
차단
액티브
모니터링과 튜닝

53. AWS WAF – 레이어 7 어플리케이션 방어
3 가지 이용 형태
셀프 서비스 디도스 전문가
에게 요청
선제적으로 DRT팀
개입

54. AWS WAF – 레이어 7 어플리케이션 방어
• 추가 비용 부담 없이 AWS WAF 이용
셀프서비스

55. AWS WAF – 레이어 7 어플리케이션 방어
1. AWS DDoS Response Team (DRT) 참여 요청
2. DRT팀에 의한 공격 유형 및 규모 분석
3. DRT팀 도움을 통해 고객이 AWS WAF 룰 생성
하고 대처
디도스 전문가 참여

56. AWS WAF – 레이어 7 어플리케이션 방어
1. AWS DDoS Response Team (DRT)에 의한 상시
모니터링
2. DRT팀이 선제적으로 디도스 공격에 대응
3. DRT팀에 의한 AWS WAF 룰 적용 (사전에 권한
설정 필요함)
선제적인 DRT 개입

57. AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호

58. 공격 통보 및 리포팅
공격 모니터링
및 탐지
• Amazon CloudWatch 를 통해 공격에 대한 실시간 통보
• 준 실시간 메트릭과 공격 분석을 위한 패킷 캡춰
• 과거 공격 이력 리포트

59. AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호

60. 24x7 기반 DDoS 대응 팀 연계
• 중대하고 급박한 우선순위의 케이스에 대해 신속
하게 답변이 제공될 수 있도록 디도스 전문가와
직접 연결됨
• 복잡한 케이스를 AWS 및 아마존을 비롯한 기타
서비스들을 보호하고 있는 경험많은 AWS 디도스
대응팀(DRT)으로 바로 요청할 수 있음.

61. 24x7 기반 DDoS 대응 팀 연계
공격 이전
선제적으로 컨설팅과
모범사례 가이드 전달
공격 도중
공격에 대한 대응
조치
공격 이후
사후 분석

62. AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호

63. AWS 청구 보호
디도스 공격으로 인한 스케일링 비용을 AWS가 흡수
• Amazon CloudFront
• Elastic Load Balancer
• Application Load Balancer
• Amazon Route 53

64. AWS DDoS Shield: 이용 요금
• 약정기간 없음
• 추가 비용 없음
• 1 년 약정 기간
• 월간 기본 이용 요금: $3,000
• 데이터 전송 요금
데이터 전송 요금 ($ per GB)
CloudFront ELB
First 100 TB $0.025 $0.050
Next 400 TB $0.020 $0.040
Next 500 TB $0.015 $0.030
Next 4 PB $0.010 Contact Us
Above 5 PB Contact Us Contact Us
Standard Protection Advanced Protection

65. AWS DDoS Shield: 선택 방법
• 대부분의 일상적인 디도스
공격의 방어를 위해
• AWS 상의 디도스 방어를 강
화하기 위한 도구 및 모범사
례들을 이용하고자 할 때
• 좀더 규모가 크고 복잡한 형태의
공격에 대한 추가적인 보호를 위
해
• 공격에 대한 가시성 확보를 위해
• 공격으로 인한 손해를 회피하기
위해
• 24X7 기반으로 디도스 전문사에
게 복잡한 케이스들을 요청하기
위해
Standard Protection Advanced Protection

66. AWS Shield: 시작하기
• 자동으로 적용됨 • AWS 콘솔을 통해 시작
Standard Protection Advanced Protection

67. 감사합니다