OcNOS-SP · FastNetMon · BGP Flowspec · RTBH

자체 네트워크 내부에서 DDoS 공격을 탐지하고 차단합니다

인네트워크 DDoS 보호는 트래픽을 경로 외부의 스크러빙 센터로 우회시키는 대신 라우터 자체의 네트워크 에지에서 공격을 탐지하고 완화합니다. IP Infusion은 이를 하나의 시스템으로 제공합니다: BGP FlowSpec 및 RTBH를 갖춘 OcNOS를 실행하는 개방형 스위치 및 라우터로, 하나의 계약 하에 지원됩니다. sFlow 텔레메트리가 FastNetMon 탐지 엔진에 데이터를 공급하고, 이 엔진은 ASIC에서의 라인 레이트 필터링을 위해 FlowSpec 또는 RTBH 규칙을 라우터로 다시 푸시합니다.

왜 네트워크 내 DDoS 완화인가?

트래픽 우회 없이 엣지의 하드웨어에서 공격 트래픽을 필터링합니다.

OcNOS를 실행하는 라우터는 이미 고객 트래픽을 처리하는 장비에서 공격 트래픽을 폐기하므로, 모든 패킷이 정상 경로에 머물고 정상 트래픽은 포워딩 플레인을 벗어나지 않습니다. 라우팅해 거쳐야 할 오프 패스 스크러빙 센터도, 패킷별 우회도, 별도로 구매하고 산정해야 할 스크러빙 용량도 없습니다.

FastNetMon과 함께 OcNOS를 실행하는 라우터는 탐지와 완화를 네트워크 엣지에 직접 배치합니다: sFlow telemetry streams from the router to FastNetMon continuously; when an attack is detected, FastNetMon pushes BGP Flowspec rules back to the router; the router installs the rules in the ASIC hardware at line rate. The entire loop completes in under 2 seconds, and clean traffic passes with no added latency.

탐지·완화되는 공격 유형:

UDP 증폭 SYN Flood TCP RST Flood ICMP 플러드 DNS 쿼리 플러드 NTP 증폭 Memcached 리플렉션 볼류메트릭 대역폭 포화 프래그먼트 패킷 공격

FastNetMon: 완화를 트리거하는 탐지 엔진

FastNetMon Advanced는 라우터가 내보내는 sFlow를 감시하다가, 트래픽이 사용자가 설정한 호스트별 또는 서브넷별 임계값을 초과하는 순간 자동으로 완화를 트리거합니다. 이는 전 세계 수백 개 ISP와 호스팅 사업자에서 이미 운영 중인 프로덕션급 소프트웨어이므로, 이 페이지의 탐지 엔진은 사업자가 실제 운영 환경에서 신뢰하는 바로 그것과 동일합니다.

BGP FlowSpec: BGP 경로로 푸시되는 정밀 필터링

다른 모든 것에 영향을 주지 않고 하나의 공격만 차단해야 할 때, 라우터는 출발지 및 목적지 IP, 프로토콜, 포트, 패킷 길이, TCP 플래그, DSCP, 프래그먼트 유형을 매칭합니다. 규칙은 BGP를 통해 도착하여 밀리초 내에 ASIC에 적재되므로, 매칭되는 트래픽을 CPU 오버헤드 없이 라인 레이트로 드롭, 속도 제한, 또는 리디렉션합니다. FlowSpec은 RFC 8955를 따릅니다.

RTBH: 볼류메트릭 플러드가 도달하기 전에 차단

대규모 볼류메트릭 공격의 경우, 사업자 명령에 따라 또는 FastNetMon이 해당 프리픽스로 향하는 트래픽이 임계값을 초과하는 것을 감지하면 자동으로, 라우터가 BGP를 통해 대상 프리픽스를 블랙홀 처리합니다. RTBH 경로는 상위 피어와 트랜짓 프로바이더로 전파되므로, 이들은 공격이 사용자의 네트워크로 유입되기 전에 자신의 엣지에서 이를 드롭합니다.

sFlow: the traffic feed that makes detection possible

라우터는 설정한 속도로 하드웨어 가속 샘플링을 사용하여 모든 엣지 인터페이스에서 sFlow를 내보내므로, CPU에 부하를 주지 않고 탐지가 트래픽을 확인합니다. 동일한 피드가 DDoS 탐지를 위해 FastNetMon으로 전달되는 동시에, 트래픽 분석을 위해 이미 운영 중인 Kentik, PRTG, Prometheus 또는 임의의 sFlow 컬렉터로도 전달됩니다. sFlow는 RFC 3176을 따릅니다.

하드웨어 ACL: 알려진 악성 행위자를 한 번 차단하면 영구적으로 유지

이미 악성으로 파악된 트래픽에 대해, 라우터는 IP, 서브넷, 프로토콜, 포트별로 이를 영구적으로 드롭하고 인터페이스별, VLAN별, 프리픽스별로 속도를 제한하는 ACL을 ASIC에 설치합니다. 한 번 구성하면 그 이후로 라우팅이나 처리 오버헤드 없이 하드웨어가 이를 적용합니다.

FastNetMon → OcNOS · 자동 대응(예시) 경고
1. FastNetMon이 sFlow를 통해 이상 탐지
경고 UDP 플러드 → 203.0.113.50
14 Gbps. 임계값 5 Gbps 초과
2. FastNetMon이 OcNOS에 BGP Flowspec 전달
POST /api/flowspec/rule
match: dst 203.0.113.50/32 proto UDP
action: rate-limit 100Mbps
→ rule installed in ASIC
3. OcNOS가 하드웨어에서 라인레이트로 적용
Flowspec 규칙 활성 14
공격 트래픽 dropped
Over-threshold rate-limited
✓ 정상 트래픽 통과

FastNetMon: 탐지 엔진

FastNetMon Advanced는 전 세계 수백 개 ISP가 사용하는 전용 DDoS 탐지 엔진입니다. BGP Flowspec 및 RTBH를 통해 OcNOS와 기본적으로 통합됩니다. 호스트별, 서브넷별, 프로토콜별로 구성 가능한 임계값으로 sFlow 텔레메트리를 소비합니다.

FastNetMon 자세히 보기 →
<2s
탐지-완화 루프: sFlow 이상 신호에서 하드웨어 Flowspec 규칙까지
0ms
정상 트래픽에 추가 지연 없음: 필터링은 오프패스 스크러버가 아닌 인라인 ASIC에서 수행
0%
하드웨어 ACL과 Flowspec 적용을 위한 CPU 부담: ASIC으로 가속
600+사업자 도입
60+국가
26네트워킹 분야 연수
참조 아키텍처

네트워크 내 DDoS 탐지 및 완화: 전체 토폴로지

다음은 실제 운영 네트워크에서 각 보호 계층이 위치하는 지점입니다. 인터넷에서 오는 공격 트래픽이 OcNOS 엣지 라우터에 도달하며, 이 라우터는 그동안 계속 sFlow를 FastNetMon으로 스트리밍합니다. FastNetMon이 이상을 감지하는 순간 BGP FlowSpec 또는 RTBH를 엣지로 다시 푸시하고, 라우터는 밀리초 단위로 ASIC에 규칙을 설치합니다. 상위 피어도 RTBH 공지를 수신할 수 있으므로, 공격이 사용자에게 도달하기 전에 이를 드롭합니다.

OcNOS 엣지와 FastNetMon을 활용한 네트워크 내 DDoS 방어 토폴로지 봇넷 소스의 공격 트래픽은 업스트림 피어를 거쳐 두 대의 OcNOS-SP 에지 라우터로 유입됩니다. 에지 라우터는 sFlow 텔레메트리를 FastNetMon 탐지 엔진으로 내보냅니다. 공격이 탐지되면 FastNetMon은 BGP를 통해 BGP Flowspec 또는 RTBH 경로를 에지 라우터로 다시 푸시하여 라인 레이트 필터링을 위한 규칙을 ASIC에 설치합니다. 정상 트래픽은 보호 대상 고객 또는 데이터센터 네트워크로 계속 전달됩니다. 업스트림 피어도 BGP를 통해 RTBH 공지를 수신하여 공격 트래픽이 보호 네트워크로 유입되기 전에 드롭할 수 있습니다. Attackers 분산 봇넷 10 to 100 Gbps Customers 정상 트래픽 HTTP/DNS/SSH 트랜짓 피어 eBGP / RTBH 수신 Tier-1 인터넷 RTBH /32 드롭 OcNOS Edge-01 UfiSpace S9600-72XC Qumran 2C (BCM88820) · 2.4 Tbps ASIC 하드웨어 Flowspec + ACL 드롭 라인 레이트 · CPU 0% OcNOS Edge-02 UfiSpace S9600-72XC ECMP 이중화 ASIC Flowspec + ACL 공격 + clean FastNetMon 탐지 엔진 sFlow analysis threshold-based detect sFlow ↑ BGP Flowspec ↓ + RTBH eBGP를 통해 업스트림으로 전파되는 RTBH → 보호 대상 서버 DC / 호스팅 인프라 정상 트래픽만 통과 · 지연 추가 0ms 고객 네트워크 테넌트별 정책 관리형 DDoS 서비스 clean ✓ 공격 드롭 DETECT-TO-MITIGATE LOOP (EXAMPLE) 1. 이상 징후 감지 FastNetMon telemetry 2. BGP Flowspec 푸시 FNM → BGP 상의 OcNOS 3. ASIC 규칙 설치됨 OcNOS 하드웨어가 집행합니다 4. 라인 레이트로 공격 차단 전체 루프: <2s · 정상 트래픽 0ms 지연
공격 트래픽
정상 트래픽
sFlow telemetry
BGP Flowspec / RTBH (컨트롤 플레인)
↳ 노드에 마우스를 올리면 플랫폼, ASIC, BGP, 정책 세부 정보 확인
작동 방식

네 단계로 공격 탐지에서 트래픽 차단까지

탐지에서 완화까지의 루프가 자동으로 실행됩니다. 한번 구성되면 네트워크는 운영자의 개입 없이 공격을 차단합니다.

1

수집

OcNOS는 모든 에지 인터페이스에서 FastNetMon으로 sFlow 텔레메트리를 내보냅니다. 하드웨어 가속 패킷 샘플링: CPU 오버헤드가 없고 포워딩 성능에 영향을 주지 않습니다.

2

감지

FastNetMon은 호스트 단위·서브넷 단위 임계값을 기준으로 플로우 데이터를 분석합니다. 볼륨형 플러드, SYN 스톰, UDP 증폭, DNS 플러드, NTP 리플렉션 공격을 일반적으로 1초 이내에 식별합니다.

3

신호

FastNetMon은 외과적 완화용 BGP Flowspec 규칙이나 볼륨형 공격용 RTBH 블랙홀 라우트를 BGP를 통해 OcNOS로 자동 전송합니다. 완전히 자동화되어 있어 공격 진행 중에도 운영자의 조치가 필요하지 않습니다.

4

완화

OcNOS는 Flowspec 규칙이나 RTBH 라우트를 ASIC 하드웨어에 직접 설치합니다. 공격 트래픽은 풀 라인레이트로 드롭되거나 속도 제한됩니다. 정상 트래픽은 영향을 받지 않고 지속됩니다. 공격이 잦아들면 규칙은 자동으로 제거됩니다.

사용 사례

네트워크 내 DDoS 보호가 적합한 위치

탐지와 완화가 이미 엣지에 있는 장비에서 수행되므로, 소규모 지역 ISP를 운영하든 대형 데이터센터를 운영하든 동일한 엣지 라우터와 스위치가 DDoS 방어를 수행합니다.

🌐

ISP & SP 엣지 보호

고객용 대역을 포화시킬 수 있는 볼륨형 DDoS로부터 피어링 에지와 트랜짓 링크를 보호하세요. 피어링 라우터의 sFlow 탐지와 자동 BGP Flowspec 완화는 플러드가 하류 고객에 도달하기 전에 차단합니다. 트랜짓 사업자와의 상위 RTBH 연동은 공격이 귀사 네트워크에 진입하기 전에 차단합니다.

🏢

데이터 센터 경계

DC 경계에서 수행되는 인라인 DDoS 필터링으로 호스팅 인프라와 클라우드 워크로드를 보호합니다. 정적 하드웨어 ACL이 알려진 악성 행위자를 영구 차단하고, 동적 Flowspec 규칙이 새로운 공격 시그니처에 실시간으로 적응합니다. 스크러빙 센터로의 트래픽 우회가 없으므로 정상 트래픽의 지연 영향은 전혀 발생하지 않습니다.

🛡️

관리형 DDoS 방어 서비스

사업자는 고객별 DDoS 보호를 매니지드 서비스로 제공하고 보호 대상 프리픽스 단위로 과금할 수 있습니다. FastNetMon은 고객별 임계값 프로파일을 지원하고, OcNOS는 고객별 Flowspec 규칙을 적용합니다. 공유 스크러빙 인프라가 필요 없으며: 각 고객의 보호는 전용이며 네트워크 내에서 이루어집니다.

자주 묻는 질문

OcNOS DDoS 방어: FAQ

BGP Flowspec이란 무엇이며, OcNOS는 이를 DDoS 완화에 어떻게 활용하나요?
BGP FlowSpec(RFC 8955, 원래 RFC 5575)는 라우터 전반에 세분화된 트래픽 필터링 규칙을 분산하는 BGP 확장으로, BGP를 통해 ACL을 푸시하는 것과 유사하지만 더 세분화된 매치 조건을 갖습니다. OcNOS는 소스 IP, 목적지 IP, 프로토콜, 소스 및 목적지 포트, 패킷 길이, TCP 플래그, DSCP, IP 프래그먼트 유형을 매치합니다. FastNetMon이 공격을 탐지하면 BGP를 통해 밀리초 단위로 FlowSpec 규칙을 OcNOS에 푸시하고, OcNOS는 이를 ASIC에 직접 설치하여 CPU 오버헤드 없이 풀 라인 레이트로 매칭 트래픽을 드롭하거나 rate-limit합니다.
FastNetMon은 OcNOS와 어떻게 연동되며, 응답 속도는 어느 정도인가요?
FastNetMon은 라우터가 내보내는 sFlow를 읽어, 사용자가 설정한 호스트별 및 서브넷별 임계값과 지속적으로 대조합니다. 트래픽이 임계값을 초과하면, 예를 들어 단일 목적지로 5 Gbps를 초과하는 UDP 플러드가 발생하면, BGP Flowspec 규칙(정밀하고 프로토콜별 완화용) 또는 RTBH 블랙홀 경로(전체 프리픽스 블랙홀링용)를 BGP를 통해 OcNOS로 자동으로 푸시합니다. 탐지에서 완화까지의 전체 루프가 자동화되어 있으며 일반적으로 2초 미만에 완료됩니다.
본 솔루션은 어떤 종류의 DDoS 공격을 탐지하고 완화하나요?
이 솔루션은 사업자가 가장 자주 접하는 공격 유형을 다룹니다: 볼류메트릭 플러드(UDP 증폭, ICMP 플러드, 원시 대역폭 포화), 프로토콜 공격(SYN 플러드, TCP RST 플러드, 단편화 패킷 공격), 그리고 플로우 분석으로 포착할 수 있는 애플리케이션 계층 공격(DNS 쿼리 플러드, NTP 증폭, Memcached 증폭)입니다. 정밀한 완화를 위해 BGP Flowspec은 프로토콜, 포트, TCP 플래그, 단편 유형을 기준으로 매칭합니다. 정밀도보다 속도가 중요한 볼류메트릭 공격의 경우, RTBH 블랙홀링이 엣지에서 대상 프리픽스로 향하는 모든 트래픽을 폐기합니다.
OcNOS는 FastNetMon 없이 DDoS 완화가 가능합니까?
네. 라우터는 세 가지 독립적인 메커니즘을 통해 자체적으로 완화합니다: 알려진 악성 행위자를 영구적으로 차단하는 정적 하드웨어 ACL(ASIC 가속, CPU 오버헤드 없음), 프리픽스별로 트리거하는 BGP 기반 수동 RTBH 블랙홀링, 그리고 모든 표준 BGP 스피커로부터의 BGP FlowSpec 규칙 수신입니다. 이미 Arbor/Netscout, A10 Networks, Cloudflare Magic Transit, 또는 Kentik 같은 탐지 플랫폼을 운영 중이라면, OcNOS는 이미 보유한 탐지 시스템으로부터 FlowSpec 또는 RTBH 명령을 받는 시행 플레인이 됩니다.
RTBH 블랙홀링이란 무엇이며, Flowspec 대신 언제 사용해야 하나요?
볼류메트릭 공격이 충분히 커서, 정상 트래픽을 포함해 대상 목적지로 향하는 모든 트래픽을 폐기하는 것이 나머지 네트워크를 보호하기 위한 수용 가능한 절충안일 때 RTBH(Remotely Triggered Black Hole)를 사용하세요. 이는 폐기 인터페이스를 가리키는 넥스트홉과 함께 대상 프리픽스를 BGP로 광고하는 방식으로 작동하므로, 이 광고를 수신하는 모든 상위 라우터가 해당 프리픽스의 트래픽을 자체 에지에서 네트워크에 진입하기 전에 폐기합니다. 예를 들어 TCP는 통과시키면서 목적지로 향하는 UDP 포트 53만 차단하는 등 정밀한 완화가 필요할 때는 대신 BGP Flowspec을 선택하세요. 실제로 사업자들은 속도를 위해 RTBH로 시작한 후, 공격이 파악되면 정밀도를 위해 Flowspec으로 전환하는 경우가 많습니다.
OcNOS의 인-네트워크 DDoS 완화가 스크러빙 센터를 대체하나요?
공격에 따라 다르며, 인네트워크 완화는 스크러빙 센터를 보완하거나 부분적으로 대체합니다. 공격이 자체 프리픽스를 표적으로 할 때, FastNetMon을 갖춘 OcNOS는 필터링이 하드웨어 ASIC의 에지에서 인라인으로 이루어지기 때문에 스크러빙 센터를 통해 트래픽을 라우팅하는 것보다 더 빠르게(2초 미만) 그리고 더 낮은 비용으로 대응합니다. 공격이 라우터에 도달하기 전에 업스트림 링크를 포화시킬 만큼 클 때는, 트랜짓 프로바이더와의 업스트림 RTBH를 인네트워크 Flowspec과 결합하는 것이 가장 효과적인 접근 방식입니다. 매니지드 DDoS 프로바이더는 고객별 Flowspec 규칙 및 임계값을 갖춘 고객별 집행 플레인으로 OcNOS를 실행할 수도 있습니다.
보호 받기

오픈 하드웨어 위에서 네트워크를 보호하세요.

환경에 맞는 토폴로지, 위협 모델, 적합한 Flowspec 및 RTBH 구성을 함께 살펴보겠습니다.

DDoS 데모 예약 OcNOS VM 다운로드