DDoS 방어의 계층은 무엇이며, 각 계층은 무엇을 처리하나요?

Question

Accepted Answer

DDoS 방어는 **defense in depth(심층 방어)**입니다. 단일 통제로 모든 공격을 막을 수 없으므로, 각각 다른 종류의 트래픽을 흡수·필터·차단하는 계층을 쌓습니다. 순서가 중요합니다 — 가능한 한 많은 작업을 origin에서 멀리 edge로 밀어내세요.

## 계층, edge에서 안쪽으로

- **CDN / scrubbing center** (Cloudflare, Akamai, AWS Shield) — 최외곽 계층. **anycast**를 사용하면 동일한 IP가 여러 PoP에서 광고되므로, 볼류메트릭 flood가 단일 데이터센터가 아니라 **전 세계 용량에 분산**됩니다. scrubbing center가 flood를 흡수하고 깨끗한 트래픽만 전달합니다.
- **WAF (Web Application Firewall)** — HTTP 요청을 검사하고 악성 패턴을 차단합니다: 나쁜 시그니처, 의심스러운 user agent, 알려진 나쁜 IP, 그리고 실제 요청을 흉내 내는 **Layer 7** flood.
- **Rate limiting** — 시간 창 동안 IP, API key, 또는 user별 요청을 제한하고 `429 Too Many Requests`를 반환합니다. 정상 클라이언트를 해치지 않으면서 남용 클라이언트를 막습니다.
- **Upstream / ISP blackhole (null-route)** — 순수 볼륨에 대한 최후의 수단. 제공자가 대상 IP로 가는 모든 트래픽을 drop하여(**remotely-triggered blackhole, RTBH**), 그 IP 하나를 희생해 나머지 전부를 보호합니다.
- **Autoscaling + overprovisioning** — 빠져나온 트래픽을 **흡수**할 여분의 origin 용량으로, 다른 계층이 가동되는 동안 시간을 법니다.

## 함께 작동하는 방식

사고 모델은 **흡수 -> 필터 -> 차단**입니다:

```text
인터넷 flood
  -> CDN + anycast      : 전 세계 PoP에 볼륨 흡수(ABSORB)
  -> scrubbing          : 명백한 쓰레기 drop (L3/L4 flood)
  -> WAF                : 악성 HTTP 필터(FILTER) (L7)
  -> rate limiting       : 남용 클라이언트 throttle (429)
  -> origin (autoscaled) : 남은 깨끗한 트래픽 처리
  -> ISP null-route      : origin IP가 압도되면 최후의 수단
```

볼류메트릭 공격은 CDN/scrubbing 계층에서 죽고, 실제 트래픽처럼 보이는 애플리케이션 계층 공격은 WAF와 rate limiter가 필터링합니다.

## 왜 중요한가

한 계층에 의존하면 예측 가능하게 실패합니다. WAF는 1 Tbps flood를 막을 수 없고(파이프가 먼저 포화됨), CDN 단독으로는 영리한 HTTP flood를 origin으로 기꺼이 통과시킵니다. 계층화는 각 공격 종류가 그에 맞게 설계된 통제를 만나게 하고, origin은 외곽 계층이 스스로 처리하지 못한 트래픽만 보게 됩니다.