자체 네트워크 내부에서 DDoS 공격을 탐지하고 차단합니다
인네트워크 DDoS 보호는 트래픽을 경로 외부의 스크러빙 센터로 우회시키는 대신 라우터 자체의 네트워크 에지에서 공격을 탐지하고 완화합니다. IP Infusion은 이를 하나의 시스템으로 제공합니다: BGP FlowSpec 및 RTBH를 갖춘 OcNOS를 실행하는 개방형 스위치 및 라우터로, 하나의 계약 하에 지원됩니다. sFlow 텔레메트리가 FastNetMon 탐지 엔진에 데이터를 공급하고, 이 엔진은 ASIC에서의 라인 레이트 필터링을 위해 FlowSpec 또는 RTBH 규칙을 라우터로 다시 푸시합니다.
수 초 내 탐지부터 완화까지.
아키텍처 개요와 도입 app note: 상위 수준의 큰 그림과 더불어 FastNetMon을 활용한 OcNOS의 BGP Flowspec 및 RTBH 단계별 구성 가이드를 제공합니다.
트래픽 우회 없이 엣지의 하드웨어에서 공격 트래픽을 필터링합니다.
OcNOS를 실행하는 라우터는 이미 고객 트래픽을 처리하는 장비에서 공격 트래픽을 폐기하므로, 모든 패킷이 정상 경로에 머물고 정상 트래픽은 포워딩 플레인을 벗어나지 않습니다. 라우팅해 거쳐야 할 오프 패스 스크러빙 센터도, 패킷별 우회도, 별도로 구매하고 산정해야 할 스크러빙 용량도 없습니다.
FastNetMon과 함께 OcNOS를 실행하는 라우터는 탐지와 완화를 네트워크 엣지에 직접 배치합니다: sFlow telemetry streams from the router to FastNetMon continuously; when an attack is detected, FastNetMon pushes BGP Flowspec rules back to the router; the router installs the rules in the ASIC hardware at line rate. The entire loop completes in under 2 seconds, and clean traffic passes with no added latency.
탐지·완화되는 공격 유형:
FastNetMon: 완화를 트리거하는 탐지 엔진
FastNetMon Advanced는 라우터가 내보내는 sFlow를 감시하다가, 트래픽이 사용자가 설정한 호스트별 또는 서브넷별 임계값을 초과하는 순간 자동으로 완화를 트리거합니다. 이는 전 세계 수백 개 ISP와 호스팅 사업자에서 이미 운영 중인 프로덕션급 소프트웨어이므로, 이 페이지의 탐지 엔진은 사업자가 실제 운영 환경에서 신뢰하는 바로 그것과 동일합니다.
BGP FlowSpec: BGP 경로로 푸시되는 정밀 필터링
다른 모든 것에 영향을 주지 않고 하나의 공격만 차단해야 할 때, 라우터는 출발지 및 목적지 IP, 프로토콜, 포트, 패킷 길이, TCP 플래그, DSCP, 프래그먼트 유형을 매칭합니다. 규칙은 BGP를 통해 도착하여 밀리초 내에 ASIC에 적재되므로, 매칭되는 트래픽을 CPU 오버헤드 없이 라인 레이트로 드롭, 속도 제한, 또는 리디렉션합니다. FlowSpec은 RFC 8955를 따릅니다.
RTBH: 볼류메트릭 플러드가 도달하기 전에 차단
대규모 볼류메트릭 공격의 경우, 사업자 명령에 따라 또는 FastNetMon이 해당 프리픽스로 향하는 트래픽이 임계값을 초과하는 것을 감지하면 자동으로, 라우터가 BGP를 통해 대상 프리픽스를 블랙홀 처리합니다. RTBH 경로는 상위 피어와 트랜짓 프로바이더로 전파되므로, 이들은 공격이 사용자의 네트워크로 유입되기 전에 자신의 엣지에서 이를 드롭합니다.
sFlow: the traffic feed that makes detection possible
라우터는 설정한 속도로 하드웨어 가속 샘플링을 사용하여 모든 엣지 인터페이스에서 sFlow를 내보내므로, CPU에 부하를 주지 않고 탐지가 트래픽을 확인합니다. 동일한 피드가 DDoS 탐지를 위해 FastNetMon으로 전달되는 동시에, 트래픽 분석을 위해 이미 운영 중인 Kentik, PRTG, Prometheus 또는 임의의 sFlow 컬렉터로도 전달됩니다. sFlow는 RFC 3176을 따릅니다.
하드웨어 ACL: 알려진 악성 행위자를 한 번 차단하면 영구적으로 유지
이미 악성으로 파악된 트래픽에 대해, 라우터는 IP, 서브넷, 프로토콜, 포트별로 이를 영구적으로 드롭하고 인터페이스별, VLAN별, 프리픽스별로 속도를 제한하는 ACL을 ASIC에 설치합니다. 한 번 구성하면 그 이후로 라우팅이나 처리 오버헤드 없이 하드웨어가 이를 적용합니다.
FastNetMon: 탐지 엔진
FastNetMon Advanced는 전 세계 수백 개 ISP가 사용하는 전용 DDoS 탐지 엔진입니다. BGP Flowspec 및 RTBH를 통해 OcNOS와 기본적으로 통합됩니다. 호스트별, 서브넷별, 프로토콜별로 구성 가능한 임계값으로 sFlow 텔레메트리를 소비합니다.
FastNetMon 자세히 보기 →네트워크 내 DDoS 탐지 및 완화: 전체 토폴로지
다음은 실제 운영 네트워크에서 각 보호 계층이 위치하는 지점입니다. 인터넷에서 오는 공격 트래픽이 OcNOS 엣지 라우터에 도달하며, 이 라우터는 그동안 계속 sFlow를 FastNetMon으로 스트리밍합니다. FastNetMon이 이상을 감지하는 순간 BGP FlowSpec 또는 RTBH를 엣지로 다시 푸시하고, 라우터는 밀리초 단위로 ASIC에 규칙을 설치합니다. 상위 피어도 RTBH 공지를 수신할 수 있으므로, 공격이 사용자에게 도달하기 전에 이를 드롭합니다.
네 단계로 공격 탐지에서 트래픽 차단까지
탐지에서 완화까지의 루프가 자동으로 실행됩니다. 한번 구성되면 네트워크는 운영자의 개입 없이 공격을 차단합니다.
수집
OcNOS는 모든 에지 인터페이스에서 FastNetMon으로 sFlow 텔레메트리를 내보냅니다. 하드웨어 가속 패킷 샘플링: CPU 오버헤드가 없고 포워딩 성능에 영향을 주지 않습니다.
감지
FastNetMon은 호스트 단위·서브넷 단위 임계값을 기준으로 플로우 데이터를 분석합니다. 볼륨형 플러드, SYN 스톰, UDP 증폭, DNS 플러드, NTP 리플렉션 공격을 일반적으로 1초 이내에 식별합니다.
신호
FastNetMon은 외과적 완화용 BGP Flowspec 규칙이나 볼륨형 공격용 RTBH 블랙홀 라우트를 BGP를 통해 OcNOS로 자동 전송합니다. 완전히 자동화되어 있어 공격 진행 중에도 운영자의 조치가 필요하지 않습니다.
완화
OcNOS는 Flowspec 규칙이나 RTBH 라우트를 ASIC 하드웨어에 직접 설치합니다. 공격 트래픽은 풀 라인레이트로 드롭되거나 속도 제한됩니다. 정상 트래픽은 영향을 받지 않고 지속됩니다. 공격이 잦아들면 규칙은 자동으로 제거됩니다.
네트워크 내 DDoS 보호가 적합한 위치
탐지와 완화가 이미 엣지에 있는 장비에서 수행되므로, 소규모 지역 ISP를 운영하든 대형 데이터센터를 운영하든 동일한 엣지 라우터와 스위치가 DDoS 방어를 수행합니다.
ISP & SP 엣지 보호
고객용 대역을 포화시킬 수 있는 볼륨형 DDoS로부터 피어링 에지와 트랜짓 링크를 보호하세요. 피어링 라우터의 sFlow 탐지와 자동 BGP Flowspec 완화는 플러드가 하류 고객에 도달하기 전에 차단합니다. 트랜짓 사업자와의 상위 RTBH 연동은 공격이 귀사 네트워크에 진입하기 전에 차단합니다.
데이터 센터 경계
DC 경계에서 수행되는 인라인 DDoS 필터링으로 호스팅 인프라와 클라우드 워크로드를 보호합니다. 정적 하드웨어 ACL이 알려진 악성 행위자를 영구 차단하고, 동적 Flowspec 규칙이 새로운 공격 시그니처에 실시간으로 적응합니다. 스크러빙 센터로의 트래픽 우회가 없으므로 정상 트래픽의 지연 영향은 전혀 발생하지 않습니다.
관리형 DDoS 방어 서비스
사업자는 고객별 DDoS 보호를 매니지드 서비스로 제공하고 보호 대상 프리픽스 단위로 과금할 수 있습니다. FastNetMon은 고객별 임계값 프로파일을 지원하고, OcNOS는 고객별 Flowspec 규칙을 적용합니다. 공유 스크러빙 인프라가 필요 없으며: 각 고객의 보호는 전용이며 네트워크 내에서 이루어집니다.
OcNOS DDoS 방어: FAQ
오픈 하드웨어 위에서 네트워크를 보호하세요.
환경에 맞는 토폴로지, 위협 모델, 적합한 Flowspec 및 RTBH 구성을 함께 살펴보겠습니다.
합리적인 비용의 자동화된 DDoS 방어: OcNOS + FastNetMon
간단한 양식입니다. 제출 직후 PDF가 자동으로 다운로드됩니다.
✓ 새 탭에서 PDF를 여는 중입니다…
열리지 않았다면 아래 링크를 이용해 주십시오.
solution-brief-automated-ocnos-fastnetmon-ddos-defense.pdf자동화된 DDoS 완화: OcNOS + FastNetMon 도입 가이드
간단한 양식입니다. 제출 직후 PDF가 자동으로 다운로드됩니다.
✓ 새 탭에서 PDF를 여는 중입니다…
열리지 않았다면 아래 링크를 이용해 주십시오.
Application-Note-Automated-DDoS-Mitigation-with-OcNOS-and-FastNetMon.pdf