DDoS 공격의 변화
DDoS 공격의 사업화
다양한 DDoS 공격 형태가 있지만 목적은 항상 동일하다고 볼 수 있습니다.
온라인 리소스의 속도를 느리게 하거나 응답을 하지 못하게 함으로써,
피해 대상에게 금전적 손해나 정치적 평판에 손해를 입히기 위함이며, 공격 형태와 방법은 지속적으로 진화하고 있습니다.
DDoS 공격이 규모적으로나 형태적으로 진화를 계속 하는 이유는 또 다른 수익모델로써의 시장이 자리 잡았기 때문입니다.
2017년 Kaspersky의 리포트는 사이버범죄자의 95%가 DDoS 공격으로 수익을 얻고 있다고 발표했으며,
2016년 FBI에 체포된 이스라엘 해커 이타이 후리와 야덴 비다리는 월 20~200달러의 DDoS 봇넷 임대 사업으로 2년간 60만 달러를 벌어들였습니다. 이들의 나이는 불과 18살 이었습니다.
봇넷 임대 시세를 살펴봅시다.
1시간 동안의 공격이 가능한 봇넷 노드 2만개를 2주간 렌탈하는데 들어가는 비용은 2천달러에 불과하며,
70Mbps의 공격이 가능한 깨끗한 봇넷 60만개 구매 가격은 불과 2만달러에 불과한데다 이 비용을 점차 저렴해 지는 추세입니다.
또한 DDoS 임대사업이 활성화 되면서, 악의적 의도를 가진 누구든 전문 지식이 없이도 봇넷을 거래하고 DDoS 공격이 가능한 시대가 되었습니다.
이러한 추세는 점차 증가할 것으로 보입니다.
DDoS 의 진화
DDoS가 사업화되고 더 저렴해 지는 시장의 경향도 문제지만,
공격이 더 교묘해 지고 고도화 되는 것도 중요한 포인트가 됩니다.
한 공격 내에서 여러 가지 공격 벡터를 사용하는 APDoS(Advanced Persist Denial-of-Service) 공격 방식은 방어를 어렵게 합니다.
APDoS는 데이터베이스 및 어플리케이션을 대상으로 하는 애플리케이션 계층 공격과 서버 자원에 대한 직접 공격이 포함될 수 있습니다.
이같은 DDoS 공격 추세를 감안하면 EOS, Cosmos 와 같은 DPoS 블록체인들도 결코 공격으로부터 자유로울 수 없으며 여기에 대한 충분한 대책이 사전에 논의되어야 하며 지속적으로 대응해 나가야 할 것입니다.
다행히 EOS 블록 프로듀서(BP)들은 DDoS에 대해서 상당히 많은 토의를 긴 시간에 걸쳐서 하고 있고, 여러가지 방어 시스템을 구축해 나가는 것으로 보입니다.
EOS BP들의 DDoS방어 계획
인프라 구성
dApp이나 일반 사용자에게 공개되는 Public Full Node(이하 Full Node)와
블록을 생산하는 Private Block Producer Node(이하 BP Node)를
서로 다른 네트워크로 분리하여 나누는 구조를 취합니다.
이 경우 블록을 생산하는 BP Node의 정보는 대외적으로 공개하지 않고 BP 상호간에만 공유하여,
직접적인 DDoS 공격을 회피하고 공개된 Full Node가 DDoS 공격에 의해 정지되더라도,
블록을 생산하는 BP Node에는 영향을 주지 않기에 EOS 네트워크 자체에는 영향을 거의 미치지 않게 합니다.
EOSeoul의 인프라 구성은 기존 게임서버를 운영하였던 노하우가 그대로 녹아있어,
클라우드 서비스와 IDC 자원을 사용해 장애를 대비하고
DDoS등에 의한 공격을 대비하기에 효율적인 구조를 구성한 것을 볼 수 있습니다.
BP 네트워크 구성
BP 간 VPN 연결을 통해 신뢰할 수 있는 네트워크를 구성하자는 제안입니다.
VPN 서비스가 가지는 무결성, 상호인증 및 접근통제 등의 보안 기능에 기반하여 신뢰 네트워크를 구축할 수 있다는 방식으로,
이러한 보안 기능의 추가가 BP 노드들 간의 통신을 지연시킬 수 있는 문제가 있지만, 현재로서는 가장 효율적인 대안으로 보입니다.
위의 구조는 BP 들간 신뢰 네트워크 구축과 Full Node 앞에 Proxy Server를 구축하여 부하 분산을 통해 서비스 안전성을 높이려는 구조를 가지고 있습니다.
노드 분산
병법 중 가장 훌륭한 병법은 싸우지 않는 것 이라고 했습니다.
클라우드 서비스 혹은 IDC 자원만을 이용하는 것보다
용도에 따라 클라우드 서비스를 이용한 서버와 IDC 자원을 이용한 물리적 서버를 동시에 구축 운영하며
한가지 클라우드 서비스가 아니라 다양한 클라우드 서비스와 다양하게 지역적으로 분배하는 구성은
효율적이고 안전성 높은 인프라 구성을 위해 매우 중요한 요인입니다.
얼른 오딘 서비스를 써보고 싶습니당!
감사합니다. 프로토타입을 만드는데 열과 성을 다하고 있습니다!!
eoseoul 말고 다른 BP 후보들은 디도스 대비 상황이 어떤지, BP간 VPN은 다른 문젠 없는지, 방법은 어떻게 되는지 등도 추가적으로 궁금하네요. 흥미로운 포스팅 잘 봤습니다.
BP 들 마다 주장하는 방식이 굉장히 달랐습니다. 또한, BP 들간 소통 중 아주 세부적인 내용은 다 알기가 어려운데, 최대한 아는 만큼 풀어보고자 합니다.