질문/조언질답게시판

클라우드플레어의 사용목적이 트래픽분산 외 디도스 공격등에 조금이라도 도움을 받고자 하는 경우가 있습니다.

 

이 공격에 대한 방어 부분에 초점을 두고 클라우드플레어를 사용한다면 

 

공격이 시작되었을때 클라우드플레어를 적용하는 것 VS 항상 클라우드플레어를 사용하는 것

 

두가지 중 현실적인 면에서 차이가 있는지 궁금합니다. 이론적인 것(ip가 한번 노출되면 무소용이다 라는 이론적인 것)이 아닌 현실셰계에서 어느정도 도움이 되는지 궁금하네요.

 

현재 블로그 성격의 사이트에 클라우드플레어를 적용해서 사용하고 있지만 그냥 그럭저럭 굉장히 느린 속도는 아니라 봐줄만 합니다. 예전처럼 1-2초 지연이 생길 정도는 아닌거 같습니다.

 

그런데 민감하거나 저희 같은 사람은 속도가 빠르고 느리고는 유의미할 정도로 차이를 느끼게 되는데요.

 

그래서 평상시에는 클라우드플레어를 해제하고 있다가 공격이 시작되었다고 판단 되었을때 클라우드플레어를 적용하면 이게 방어에 도움이 되는지 된다면 처음부터 클라우드플레어를 꾸준히 사용할때와 비교해서 어느정도의 차이를 보일지 궁금합니다.

  • profile

    현실적으로 대부분 공격 프로그램들은 클플을 적용하면 그냥 클플을 때립니다. 원래 사용하던 IP를 따라다니면서 집요하게 공격하는 경우는 드물어요.

     

    문제는 클플의 방어력이 예전보다 많이 떨어졌습니다. 어택모드의 캡챠를 뚫는 법을 해커들도 이제 다 터득한 거지요. 볼륨공격은 여전히 잘 막아주지만, 무한 새로고침 공격은 사실상 못 막는다고 봐야 합니다. 어차피 못 막기 때문에 공격 프로그램들도 굳이 클플을 우회해서 원본서버 IP를 파악할 필요성을 못 느끼는지도...

  • profile profile
    현실적으로 클라우드플레어를 상시 적용하는건 별로 추천하지 않는다는건가요???
    그냥 공격들어올때 키는걸로 사용해도 될런지요.
  • profile profile

    공격 들어올 때 빨리 대응하실 수 있다면요.^^

    사용하시는 서버 업체가 AWS, Linode 등 기본적인 볼륨공격을 막아줄 수 있는 곳이라면 더 좋습니다. IP가 노출되든 말든 누군가는 볼륨공격을 막아줄 것이고, 무한 새로고침은 어차피 양쪽 모두 못 막으니까요.

     

    대부분의 공격자는 우리의 상상보다 훨씬 멍청합니다. 그러나 그렇지 않은 경우까지 철저하게 대응하려면 처음부터 IP가 노출되지 않도록 하는 것이 안전하긴 합니다. https://xetown.com/tips/253152

  • ?

    제 생각에는 일단 공격이 시작되면 공격프로그램이 매번 DNS 조회하는게 아니기때문에
    공격도중에 클라우드플레어 켜는행동은 의미없을것같습니다.

    이론적인것 말고 현실세계에서 두개의 차이점이 뭔지 물어보셨지만 그 말씀하신 이론적인게 절대적입니다.
    한번 공격자에게 아이피노출되면 클라우드플레어가 아무 의미가 없어집니다.

    공격자가 한번이라도 아이피 기록하거나 기록이 됐거나 하면 쉽게 공격지점을 유지하면 되는 문제기 때문에 , 공격자가 바뀐 DNS도 모르고 도메인으로만 공격할 가능성을 기대하는게 말이 안된다고 생각됩니다.

     

    직접 http 요청을 일으키는 공격은 대역폭을 막히게하는것도아니고 백엔드 부하걸어주는 공격이라 보시면됩니다. 백엔드 부하일으키는 정도면 서버단에서 차단으로 조치할수있습니다.

    근데, 아이피가 노출되면 대역폭막아버리는 식으로 조치할수없는단계의 공격수준입니다. 대역폭막아버리는 수준의 공격이, http 요청 무수히 들어오는것보다 조치하기 힘듭니다.

    위에 기진곰님이 말씀하신 브라우저인증도 풀고, 캡챠모드 풀고 들어오는 새로고침같은경우에는 클라우드플레어에서 해외접근차단 거시면 서버가 버틸정도, 거기에 국내 아이피는 요청수준보시고 차단하시면 버티는데는 문제없을꺼같습니다.


    엔터프라이즈 플랜으로 가시면 http request ratelimit 이 있습니다. 클라우드플레어에서도 최후의 수단으로 설명해주십니다.


    실제로 브라우저인증이랑 캡챠모드까지 풀면서 들어오는 공격은 비용이 쌔기 때문에 쉽지않구요

  • ? profile

    이론은 이론이고, 현실은 거꾸로입니다. 캡챠 뚫고 들어오는 방법은 이미 라이브러리로 만들어져 공격자들 사이에 널리 공유되고 있는 데 비해, DNS는 장시간 캐싱하지 않습니다. 공격 대상이 언제든지 IP를 바꿀 수 있으니, 장시간 캐싱한다면 오히려 역효과가 나겠지요.

    클플 네임서버 사용시 DNS 캐시 기간은 5분 이내이므로, 클플을 적용하면 5분 안에 모두들 클플을 때리기 시작합니다. DNS가 바뀐 것을 무시하고 처음에 공격하던 IP를 계속 때리는 것이 오히려 고급 기법인데, 제대로 된 해외 업체의 클라우드 서버라면 원본 IP로 향하는 대역폭 공격은 쉽게 차단할 수 있습니다. (클플을 쓰는 사이트라면 속도 때문에라도 국내 호스팅 업체를 이용하지는 않을 거라고 생각됩니다.)

     

    무한 새로고침 공격도 요즘은 봇넷을 사용해서 국내외 전세계에 흩어진 수백~수천 개의 IP에서 동시다발적으로 들어오기 때문에, 일반 웹마스터의 수준에서 그것만 골라 차단하기가 쉽지 않습니다.

  • profile ?
    옛날엔 DNS에 레코드 추가할때 디폴트가 5분이었던 것 같은데
    요즘은 auto라고 해서 막 왔다갔다 하는거 같더군요.
    지금 제 사이트 ip 보니까 ttl 3시간으로 나옵니다...
  • profile
    평소에는 열어두다가 공격감지시
    클플 활성화 하고 아이피 접속을 클플만 허용하는걸 고려 해볼수 있겠네요
  • profile profile

    와 이생각을 왜 못하고 있죠 ㅎㅎ

    대피소로 대피한 거랑 똑 같은 거 같은데요.

     

    화면 캡처 2021-09-15 162604.png.jpg

    요기서 80,443 포트 접근 가능 ip 대역을 등록해 버리면 될 것 같은데 맞겠죠??

  • profile profile
    네 그러시면 될듯합니다
    클플 접속 아이피가 여러개니 잘 취합하셔서 등록하세요
  • profile profile
    클플 아이피야 공개가 잘 되어 있으니 등록은 시간 날때 해줘서 준비만 해두면 될 것 같네요 ㅎ
  • profile profile
    네 좋은 결과 있길 기대해 봅니다
  • profile profile
    아.. 이게 상시 클라우드플레어를 적용하기는 싫고 해서 만약 공격이 있을때나 적용해 볼 거라 아마 준비만 해보고 실제 사용은 못할 겁니다. 좋은 결과를 볼수 있으면 안되죠 ㅎㅎㅎ
  • profile profile
    iwinv는 방화벽 정책을 여러 개 만들어 놓고 그때그때 바꿔쓸 수 있으니
    1. 어디서나 접속할 수 있는 평시 모드
    2. 클플을 통해서만 80 443 포트에 접속할 수 있고, 직접 접속할 수 없는 전시 모드
    를 미리 만들어 놓고 싹 바꿔치기하는 방법이 있겠습니다.
  • profile profile
    넵. 사이트 2개를 한서버에 운영하니 한곳이 공격당하면 두곳 모두 클플로 대피한 후 방화벽 가동해야겠습니다.
    오라클은 방화벽 어찌 쓰는지 한번 살펴봐야 하는지 ㅎ