둘 다 갑작스러운 요청 폭증처럼 보이므로, 양이 아니라 트래픽의 형태로 구별합니다. DDoS는 업무상 이유가 없는 비정상적이고 기계적인 패턴을 보이고, 유기적 급증은 실제 사용자를 따르며 가리킬 수 있는 원인이 있습니다.
둘 다 갑작스러운 요청 폭증처럼 보이므로, 양이 아니라 트래픽의 형태로 구별합니다. DDoS는 업무상 이유가 없는 비정상적이고 기계적인 패턴을 보이고, 유기적 급증은 실제 사용자를 따르며 가리킬 수 있는 원인이 있습니다.
/search 또는 /login)에 수천 건의 요청이 몰림.User-Agent.원시 수치를 눈대중하지 마세요. requests-per-second, 지역 구성, cache-hit ratio, error rate에 대한 baseline을 유지하고, 그것을 기준으로 anomaly detection을 실행하세요.
# 공격을 선언하기 전에 여러 신호를 상관시켜라:
requests/sec -> 20배 폭증 (의심스러움)
cache-hit ratio -> 95% -> 5%로 하락 (캐시 우회 = 의심스러움)
top endpoint -> 90%가 /login으로 (집중 = 의심스러움)
conversions/signups-> 평탄하거나 0 (업무 가치 없음 = 공격)
핵심은 상관관계입니다. 진짜 급증은 업무 지표도 끌어올리지만, 공격은 비용만 올리고 conversion은 평탄하게 유지됩니다.
둘을 잘못 읽으면 양방향으로 비용이 듭니다. 출시 급증을 공격으로 보고 rate-limit을 걸면 돈을 내는 사용자를 차단하고, 공격을 유기적이라고 보면 origin을 고갈시킵니다. baselining과 상관된 지표는 빠르고 정확하게 대응하게 해주며, 이것이 바로 탐지의 목적입니다.