Anti-DDoS 의 L4 방어, L7 방어 차이

1. L4(Layer 4 전송 계층) 방어

L4 방어는 TCP/UDP 트래픽을 기반으로 DDoS 공격을 감지 및 차단합니다. 

 

1) 차단 가능한 공격 유형

SYN Flood	다량의 TCP SYN 패킷을 보내 세션을 과부하시키는 공격, 서버의 커넥션을 마비시킴 -> Anti DDoS 솔루션이 비정상적인 SYN 패킷을 감지하고 차단
UDP Flood	무작위 UDP 패킷을 보내 네트워크 대역폭을 고갈시키는 공격
ICMP Flood(Ping Flood)	대량의 ICMP 요청을 보내 서버를 마비시키는 공격
ACK Flood	TCP ACK 패킷을 대량으로 보내 서버 리소스를 소모시키는 공격

 

2) 차단 방식

Rate Limiting	특정 IP 에서 오는 트래픽을 제한
Packet Filtering	비정상적인 트래픽을 필터링하여 차단
TCP 프로토콜 분석	정상적인 3 way handshake 가 아닌 트래픽 차단

 

L4 방어는 트래픽의 패턴을 기반으로 필터링할 뿐, 트래픽의 내용(컨텐츠)을 분석하지 않음

-> 패킷의 헤더(TCP/UDP)만 확인하기 때문에 HTTP 요청이 정상인지 아닌지 구분할 수 없음

HTTP Flood 공격은 정상적인 HTTP 트래픽처럼 보이므로 L4 방어에서는 감지할 수 없음  

 

2. L7(Layer 7 전송 계층) 방어

L7 방어는 HTTP, HTTPS, DNS, SMTP 등 애플리케이션 계층에서 발생하는 공격을 감지 및 차단합니다. 

 

1) 차단 가능한 공격 유형

HTTP Flood	정상적인 HTTP 요청처럼 보이지만 과부하를 유발하는 대량 요청 공격자가 대량의 HTTP GET 요청을 보내 웹 서버의 리소스를 소모시킴 -> L4 방어 불가능 : L4 에서는 TCP 연결이 정상적으로 이루어졌다고 판단하여 차단하지 않음 -> WAF L7 방어 : 특정 User-Agent 차단, CAPTCHA 적용 등으로 대응
Slowloris	HTTP 요청을 천천히 보내 서버의 연결을 고갈시키는 공격
CC(Challenge Collapsar)	대량의 HTTP GET/POST 요청을 보내 서버 리소스를 소모시키는 공격
DNS Query Flood	다량의 DNS 요청을 보내 네임서버를 마비시키는 공격

 

2) 차단 방식

WAF(Web Application Firewall)	URL 패턴, User-Agent, 쿠키 등을 기반으로 악성 트래픽 차단
Rate Limiting	동일 IP의 HTTP 요청 수 제한
CAPTCHA 인증	봇 트래픽을 차단하기 위해 사용

 

L4 방어만 가능한 Anti-DDoS 솔루션은 네트워크 트래픽 기반 공격(SYN Flood, UDP Flood 등)만 차단할 수 있고, 애플리케이션 계층에서 발생하는 HTTP Flood 같은 공격은 방어할 수 없음.

L7 공격까지 방어하려면 WAF(Web Application Firewall)와 같은 추가적인 보안 솔루션이 필요함.