DDoS 공격과 자연스러운 트래픽 급증을 어떻게 구별하나요?

Question

Accepted Answer

둘 다 갑작스러운 요청 폭증처럼 보이므로, **양이 아니라 트래픽의 형태**로 구별합니다. DDoS는 업무상 이유가 없는 비정상적이고 기계적인 패턴을 보이고, 유기적 급증은 실제 사용자를 따르며 가리킬 수 있는 원인이 있습니다.

## DDoS의 징후

- **한 엔드포인트에 집중** — 사이트 전반에 퍼지지 않고 비싼 단일 경로(예: `/search` 또는 `/login`)에 수천 건의 요청이 몰림.
- **이상한 지역과 user agent** — 서비스하지 않는 지역에서 오는 트래픽, 또는 반복되거나 비어 있거나 위조된 단일 `User-Agent`.
- **낮은 cache-hit ratio** — 공격자는 고유한 query string을 만들어 CDN을 우회하고 origin을 직접 타격함.
- **변형되거나 반복적인 요청** — 동일한 payload, 누락된 header, 쿠키 없음, referrer 체인 없음.
- **업무상 동인 없음** — 캠페인, 출시, referral 어느 것도 급증을 설명하지 못하고, 점진적으로 오르지 않고 즉시 나타남.

## 유기적 급증의 징후

- **추적 가능한 원인** — 마케팅 캠페인, 바이럴 게시물, 언론 언급, 또는 알려진 출처로부터의 referral 급증.
- **정상적인 사용자 경로** — 트래픽이 실제 여정(랜딩 -> 제품 -> 결제)을 따라 흐르고, 캐시를 존중하며, 쿠키와 다양한 user agent를 가짐.
- **자연스러운 증가 곡선** — 부하가 즉시 벽에 부딪히지 않고 서서히 쌓였다가 줄어듦.

## 판단하는 방법

원시 수치를 눈대중하지 마세요. requests-per-second, 지역 구성, cache-hit ratio, error rate에 대한 **baseline을 유지**하고, 그것을 기준으로 **anomaly detection**을 실행하세요.

```text
# 공격을 선언하기 전에 여러 신호를 상관시켜라:
requests/sec       -> 20배 폭증         (의심스러움)
cache-hit ratio    -> 95% -> 5%로 하락    (캐시 우회 = 의심스러움)
top endpoint       -> 90%가 /login으로    (집중 = 의심스러움)
conversions/signups-> 평탄하거나 0        (업무 가치 없음 = 공격)
```

핵심은 **상관관계**입니다. 진짜 급증은 업무 지표도 끌어올리지만, 공격은 비용만 올리고 conversion은 평탄하게 유지됩니다.

## 왜 중요한가

둘을 잘못 읽으면 양방향으로 비용이 듭니다. 출시 급증을 공격으로 보고 rate-limit을 걸면 돈을 내는 사용자를 차단하고, 공격을 유기적이라고 보면 origin을 고갈시킵니다. baselining과 상관된 지표는 빠르고 정확하게 대응하게 해주며, 이것이 바로 탐지의 목적입니다.