AWS Shield Standard

주요 보호 대상 : L3, L4 계층. CF, Route53 서비스

추가 비용 없이 가장 흔한 공격 유형에 대해 자동 대응. (SYN/UDP Flood, Reflection Attack 등)

L7 공격 대응을 위해서는 AWS WAF 활용 필요.

 

 

AWS Shield Advanced

주요 보호 대상 : L3, L4, L7 계층. EC2, ELB, CF, Route53, Global Accelerator 서비스. (각 리소스 유형별로 1,000개까지 보호 지정 가능)

비용 : 월 사용료 약 $3,000 , 데이터 Transfer out 비용

예를들어 EIP로 DDoS 공격이 감지되는 경우 해당 EIP는 네트워크 경계로 이동하여 EC2의 대역폭인 10Gbps가 아닌 수TB 트래픽을 처리할 수 있게 된다. (네트워크 경계라는 개념은 뭔지 잘 모르겠다 =_=)

DDoS공격으로 인한 AWS 비용 급증으로부터 보호하는 기능을 제공한다.

UDP 반사 공격, SYN flood, DNS 쿼리 flood, HTTP flood/캐시 버스팅 공격 등의 DDoS 공격에 대한 보호를 제공한다.

WAF는 추가 비용 없이 Shield Advanced 서비스와 함께 제공된다. L7 계층을 어플리케이션 패턴 공격은 WAF를 통해 보호합니다.

 

기능 활성화 후 보호가 필요한 리소스를 지정하면 된다. (세부 옵션 같은건 없음)

1. EIP, Global Accelerator, Route53를 지정하면 위험 감지 정확도가 향상되어 임계값 이하에서 위험이 감지되어 방어한다.

2. CF, ELB를 지정하면 트래픽 볼륨이 통계적으로 변화가 감지될 때 알림이 발생한다.

 

 

WAF

비용 : $5/웹ACL , $1/rule , $0.6/100만request

임계치가 넘는 요청을 보내는 IP 자동 차단. 기본값 5분간 2,000회 요청.

정책을 정하고 해당하는 요청은 특정 Action을 취하도록 할 수 있음. 복합적인 정책을 굉장히 디테일하게 지정 가능.

일반적인 사용 대상

  1. 취약점 공격 : SQL Injection, XSS(Cross Site Scripting)
  2. 악의적인 요청 : Web Crawler, Scrapers, Direct linkes, 스캐너/probes
  3. L7 DDoS : HTTP/HTTPS floods

 

 

 

== 참고

https://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/shield-chapter.html

 

DDoS 공격의 유형
1. UDP(User Datagram Protocol) 반사 공격
공격자는 요청의 소스를 스푸핑하고 UDP를 사용하여 서버에서 대규모 응답을 끌어낼 수 있습니다. 공격을 받는 스푸핑된 IP 주소에 추가 네트워크 트래픽이 유도되면 대상 서버의 속도가 느려질 수 있으며 합법적인 사용자가 필요한 리소스에 액세스하지 못할 수 있습니다.

2. SYN flood
SYN flood 공격의 목적은 연결을 절반 정도 열린 상태로 유지하여 시스템에서 사용 가능한 리소스가 고갈되도록 하는 것입니다. 사용자가 웹 서버와 같은 TCP 서비스에 연결하면 클라이언트는 SYN 패킷을 전송합니다. 서버는 승인을 반환하고 클라이언트는 자체 승인을 반환하여 3방향 핸드셰이크를 완료합니다. SYN flood에서 세 번째 승인은 반환되지 않고 서버는 응답을 대기하는 상태로 유지됩니다. 이로 인해 다른 사용자가 서버에 연결하지 못할 수 있습니다.

3. DNS 쿼리 flood
DNS 쿼리 flood 공격에서 공격자는 여러 DNS 쿼리를 사용하여 DNS 서버의 리소스를 고갈시킵니다. AWS Shield Advanced​은 Route 53 DNS 서버에 대한 DNS 쿼리 flood 공격을 방지하는 데 도움이 됩니다.

4. HTTP flood/캐시 버스팅(계층 7) 공격
GET 및 POST flood를 포함한 HTTP flood 공격에서 공격자는 웹 애플리케이션의 실제 사용자로부터 나온 것처럼 보이는 여러 HTTP 요청을 전송합니다. 캐시 버스팅 공격은 HTTP 요청 쿼리 문자열에서 변형을 사용하여 에지 로케이션 캐시 콘텐츠 사용을 가로막고 콘텐츠가 오리진 웹 서버에서 제공되도록 강제하여 오리진 웹 서버에 손상을 일으킬 수 있는 추가 부담을 발생시키는 일종의 HTTP flood입니다.

 

 

AND