NGINX Dos 공격 방어 NGINX App Protect로 차단

오늘 포스트에서는 NGINX DoS 공격 방어를 위한 NGINX 보안 솔루션인 NGINX App Protect DoS 모듈에 대하여 알아보겠습니다.

디지털 트랜스포메이션은 비즈니스 잠재력을 가속화하고 있지만 불행하게도 위협 환경도 확대하고 있습니다. 보안 팀이 계속해서 증가하는 범위와 책임에 적응하는 데 몰두함에 따라 공격자는 금전적 이익을 위해 애플리케이션을 악용하는 방식에서 그 어느 때보다 정교해지고 있습니다. 네트워크 수준의 기존 DoS(서비스 거부) 공격과 비교할 때 애플리케이션 수준(Layer 7) DoS 공격은 대부분 최신 애플리케이션 아키텍처용으로 설계되지 않은 기존 방어를 우회할 수 있기 때문에 급격히 증가하고 있습니다.

공격자의 관점에서 볼 때 Layer 7 DoS 공격에는 두 가지 중요한 기능이 있습니다. 공격자들이 상당한 혼란을 일으키는 데 필요한 리소스가 매우 적으며 감지하기가 어렵습니다. 정교한 도구와 정확하게 대상이 지정된 요청을 사용하여 생성된 이러한 공격은 애플리케이션 서버와 API가 합법적인 요청을 처리할 수 없도록 방해합니다. 서버가 처리할 수 있는 것보다 더 많은 요청을 받으면 합법적인 요청을 중단하거나, 응답하지 않거나 심지어 충돌이 발생합니다.

기존의 DoS 완화 솔루션은 최신 앱에 효과적이지 않습니다. 정적 규칙 기반 보안을 제공하며 최신 앱 환경의 변화 및 업데이트 속도를 따라잡기 위해 지속적인 유지 관리가 필요합니다.

목차

1. NGINX App Protect DoS 소개
1-1 배포 사용 사례
 1-2 완화된 공격 유형
2. 요약

1. NGINX DoS 공격 방어를 위한 NGINX App Protect 소개

NGINX DoS 공격 방어를 위한 NGINX App Protect는 NGINX Plus를 위한 새로운 경량 동적 모듈로, 가장 정교한 애플리케이션 DoS 공격으로부터 최신 애플리케이션을 보호하도록 설계되었습니다. NGINX DoS 방어는 애플리케이션을 방해하고 손상시키려는 공격을 완화하여 지속적인 성능과 수익 수집을 보장하고 경쟁이 치열한 디지털 세상에서 고객의 충성도 및 브랜드를 보존합니다.

NGINX DoS 방어용 NGINX App Protect는 Kubernetes 클러스터를 포함하여 모든 플랫폼, 아키텍처 또는 환경의 애플리케이션 및 마이크로서비스 가까이에 배포할 수 있습니다. 애플리케이션과 함께 확장되며 항상 높은 보안 효율성을 유지합니다.

NGINX DoS 방어 NGINX App Protect

NGINX App Protect DoS 실행 중

1-1. NGINX Dos 방어를 위한 NGINX App Protect 배포 사용 사례

NGINX DoS 방어를 위한 NGINX App Protect는 애플리케이션 서비스를 보호하기 위해 다양한 위치에 배포할 수 있습니다.

  • Edge – 외부 로드 밸런서 및 프록시
  • Ingress Controller –  쿠버네티스의 진입점
  • Per‑Service Proxy – 내부 서비스 프록시 계층
  • Per‑Pod Proxy – 파드에 내장된 프록시
  • API Gateway – 마이크로서비스 진입점

1-2. 완화된 공격 유형

NGINX DoS 방어를 위한 NGINX App Protect는 여러 가지 정교한 공격 유형에 대한 보호 기능을 도입했습니다.

  • GET and POST flood 공격 –  (HTTP 및 HTTPS 모두) 공격자는 많은 수의 요청으로 서버 또는 API를 압도하여 실제 사용자에게 응답할 수 없도록 만듭니다.
  • “Slow” 공격 –  (HTTP 및 HTTPS 모두) “Slow” 공격은 서버 리소스를 묶어 실제 사용자의 요청을 처리하는 데 사용할 수 있는 리소스를 남기지 않습니다. 이는 두 가지 요인으로 인해 방어하기가 어렵습니다.

    • 네트워크 DDoS 공격과 달리 광범위한 대역폭을 사용하지 않아 일반 트래픽과 구별하기 어렵습니다.
    • 시작하는 데 많은 리소스가 필요하지 않으므로 정교한 자동화 도구를 사용하여 단일 컴퓨터에서 수천 개의 요
    청을 보낼 수 있습니다.

ㅤㅤㅤSlow 공격에는 세 가지 주요 유형이 있습니다.
ㅤㅤㅤ
ㅤㅤㅤ• Slowloris – 공격자가 서버에 연결하고 느린 속도로 부분 요청 헤더를 보냅니다. 서버는 나머지 헤더를 기다리는 동안 연결을 열린 상태로 유지하여 실제 사용자가 사용할 수 있는 연결 풀을 소진합니다.

ㅤㅤㅤ• Slow read – 공격자가 잘 구성된 HTTP 요청을 보낸 다음 느린 속도로 응답을 읽습니다. 이것은 서버 리소스를 소비하는 누적 효과가 있으므로 합법적인 요청이 통과하지 못하게 합니다.

ㅤㅤㅤ• Slow Post – 공격자는 합법적인 HTTP 포스트 헤더를 서버로 보냅니다. 그런 다음 메시지 본문을 매우 천천히 보냅니다. 메시지가 유효해 보이기 때문에 서버는 전체 본문이 도착할 때까지 연결을 열린 상태로 유지합니다. 다수의 Slow POST 공격은 실제 사용자가 사용할 수 있는 연결 풀을 소진시킵니다.

  • 이전 공격의 분산 변형 – 분명히 여러 대의 컴퓨터를 등록하면 더 많은 수의 동시 공격을 쉽게 보낼 수 있습니다. 또한 각 컴퓨터의 트래픽 양이 상대적으로 적어 일반 사용자와 비슷할 수 있습니다. 또한 컴퓨터는 공격 풀에서 빠져나갔다가 다시 합류하여 Source IP 주소 세트를 지속해서 유동적으로 만들 수 있습니다. 이러한 트래픽 특성은 속도 제한 및 지리적 차단과 같은 기존의 완화 기술을 덜 효과적으로 만듭니다.
  • Challenge Collapsar 공격/무작위 URI – Challenge Collapsar(CC) 공격에서 공격자는 요청된 URI가 대상 서버의 리소스를 고갈시킬 수 있는 복잡하고 시간 소모적인 알고리즘 또는 데이터베이스 작업을 실행해야 한다는 점을 제외하고 정상적인 요청을 자주 보냅니다. 공격자는 정적 규칙과 같은 레거시 완화 도구를 무효화하는 방식으로 URI 및 기타 HTTP 매개 변수를 무작위화할 수도 있습니다. 대신 NGINX DoS 방어를 위한 NGINX App Protect는 효율성을 크게 높이고 오탐을 줄이는 고급 머신 러닝 알고리즘에 의존합니다.
  • NAT 뒤에 숨기 – 공격자는 암호화 또는 네트워크 주소 변환(NAT)을 사용하여 탐지를 피합니다. Source IP 주소만 추적하여 공격을 탐지하려는 시도는 단 한 명의 사용자만 공격하더라도 모든 NAT 사용자를 공격자로 취급하기 때문에 비효율적입니다.

    NGINX DoS 방어를 위한 NGINX App Protect는 IPv4용 지문을 사용하여 NAT 뒤의 악의적 행위자를 정확하게 탐지합니다. 대부분 의 트래픽은 SSL/TLS를 사용하여 암호화되기 때문에 행위자를 식별하는 키를 IP 주소에서 IP 주소와 TLS 지문(TLS hello 메시지를 기반으로 하는 지문)의 조합으로 확장할 수 있습니다.
  • 표적 SSL/TLS 공격 – 공격자는 SSL/TLS 핸드셰이크 프로토콜을 남용합니다. 널리 사용되는 접근 방식 중 하나는 가비지 데이터를 대상 SSL/TLS 서버로 보내는 것입니다. 유효하지 않은 메시지를 합법적인 메시지로 처리하는 것과 마찬가지로 계산 비용이 많이 들지만 유용한 결과는 없습니다. 대부분의 방화벽은 유효한 SSL/TLS 핸드셰이크 패킷을 구분할 수 없고 방화벽에서 암호 해독을 구현하는 데 비용이 많이 들기 때문에 이 경우 도움이 되지 않습니다.

    NGINX DoS 방어를 위한 NGINX App Protect는 SSL/TLS 서명 메커니즘을 사용하여 SSL/TLS 핸드셰이크 프로세스 초기에 암호화되지 않고 전달되는 CLIENT HELLO 메시지를 기반으로 이상 기반 탐지 및 완화를 제공하여 높은 암호 해독 비용을 제거합니다. 또한 서버 상태 모니터링 메커니즘과 함께 SSL/TLS 서명을 사용하면 SSL/TLS Termination 없이 DoS 보호 및 완화가 가능합니다.

2. NGINX DoS 공격 방어 요약

네트워크 대신 애플리케이션을 대상으로 하는 DoS 공격이 점점 일반화되고 있습니다. 이러한 레이어 7 DoS 공격의 대부분은 합법적인 트래픽처럼 보이기 때문에 기존 WAF 방어로는 이를 효과적으로 탐지할 수 없습니다.

또한 공격자는 머신러닝 및 AI와 같은 신기술을 계속 활용하여 Layer 7 NGINX DoS 공격을 시작하여 단순한 규칙과 정적 서명이 덜 효과적입니다. 레이어 7 DoS 완화도 진화해야 하며 NGINX App Protect DoS는 적응형 및 동적 방어를 견딜 수 있는 올바른 기술을 제공합니다.

NGINX App Protect DoS 를 직접 사용해 보십시오. 오늘 무료 30일 평가판을 시작하거나 당사에 연락하여 사용 사례에 대해 논의하십시오.

NGINX에 대해 최신 소식을 빠르게 전달받고 싶으시면 아래 뉴스레터를 구독하세요.