[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS에서 분산 서비스 거부 공격(DDoS)을 고민하지 않는 방법 및 사례 소개 - 이정훈 AWS 솔루션즈 아키텍트, 홍석주 PUBG

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS에서 분산 서비스 거부 공격(DDoS)을
고민하지 않는 방법 및 사례 소개
홍석주, PUBG 이정훈 솔루션즈 아키텍트, AWS

오늘 세션에서는 …
DDoS, Game, & AWS
HTTP(S) 레이어 상의 공격 및 방어
• AWS WAF 소개 및 사례
Layer3/4 상의 공격 및 방어
• AWS Shield Advanced 소개 및 사례
모범 사례 (Best Practices)

DDoS, Game, & AWS

한눈에 보는 DDoS 역사
• 2000년 마피아보이 – 대규모 웹서비스인 CNN, eBay,
Yahoo등을 대상으로한 10대 청소년의 첫 대규모 DDoS 공격
• 2003년 1.25 인터넷 대란 – SQL slammer worm
• 2012년 US Banks를 대상으로 한 60Gbps급의 DDoS
• 2013년 Spamhaus를 대상으로 한 300Gbps급의 DDoS
• 2014년 홍콩 민주화 운동 사이트를 대상으로 한 500Gbps 급의
DDoS
• 2015년 BBC를 대상으로 한 600Gbps급의 DDoS
• 2018년 GitHub를 대상으로 한 1.3Tbps급의 DDoS

DDos의 대상은 나는 아니야?
AWS Shield 서비스는 매일 수천번의 DDoS 공격을 탐지하고 대응합니다.

게임을 대상으로 한 DDoS 공격들
“We’re currently experiencing a series of DDoS
attacks, which unfortunately are a common
occurrence for almost all online service providers,
This may impact connections to our games as well
as server latency, and we are taking steps to
mitigate this issue.” – Ubisoft 공식 포럼, 2018년
10월, Assassin’s Creed Odyssey 출시일

Players Game Clients
플레이어 데이터 접근
매치메이킹 및
세션 요청
게임서버 연결
게임세션요청
로그인, 게임 세션
요청, 매치메이킹 etc.
게임 세션 결과 및 기술 업데이트
플레이어 정보플랫폼 서비스
Datacenter
세션 정보세션 탐색/ 관리
서버
게임서버
공격자 해킹된
디바이스들
공격자 해킹된
디바이스들
세션 데이터
접근
게임 서비스 대상의 DDoS

1
• 구현의 복잡성
• 추가 대역폭 용량 필요
• 게임 서비스 아키텍트 변경
어떻게 구현?
2
• 모든 것이 자동화되기 어려움
• 수작업 라우팅 변경 필요
대응 속도가 …
3
스크러빙 센터를 통해 추가 지연시간
발생
성능 지연 발생?
4
최악의 경우, 제대로된 대응 시스템
구축에 천문학적인 비용이 필요
돈 많이 드네 …
과거 데이터센터 시절의 DDoS 대응의 어려움

Protect Amazon
DDoS 공격으로부터 모든 아마존 서비스 보호
Protect customers
인터넷 위협으로부터 AWS 고객 보호
Integrate with AWS
고객들이 AWS상에서 보안을 쉽게 구현할 수 있도록 함
Amazon Perimeter Protection team
Our mission

비용 효율적이고 신속한 DDoS 대응을 목표로 …
Time
Get logs
Analyze
Correlate
Trace origin
Locate
Remediate
Event delivered
Rule matched
Alert sent
Correlate
Check baseline
Remediate
공격탐지
Traditional
Response
Response
가시화
(Visibility)
자동화
(Automation)

Amazon Perimeter Protection team
제공 서비스들
AWS Shield
Standard
AWS WAFAWS Shield
Advanced
AWS Firewall
Manager

다양한 보안 위협
Bad BotsDDoS Application Attacks
UDP floods
SYN floods
Slowloris
SSL abuse
HTTP floods
UDP reflection
Content scrapers
Scanners & probes
CrawlersApplication
Layer
Network/
Transport
Layer
SQL injection
Application exploits
AWSWAFAWSShield

DDoS 공격 분포
Volumetric State exhaustion Application layer
65%
Volumetric
20%
State exhaustion
15%
Application layer
AWSWAF
AWSShield
AWSShield

확장된 DDoS 대응
RespondBlock Scale

HTTP(S) 레이어 상의 공격 및 방어
- AWS WAF 소개 및 사례

https://giphy.com/gifs/13871fiv9kBfkQ

열려버린 판도라의 상자
Cloudfront ELB
70%
30%
Internet

Cloudfront ELB
70%
30%
Internet
특정 국가 샘플링 결과, 30%의 트래픽만
Cloudfront를 타고 오는 것을 확인

Cloudfront ELB
70%
30%
Internet
70% 분량의 트래픽이 모두 유효하지 않은 요청이었다.

내부 점검 프로세스의 변화
ELB
Internet Security Group

ELB
Internet
Cloudfront

ELB
Internet
Cloudfront
점검 중 Cloudfront를 통해 들어오는 트래픽에 대한
허용/차단 설정이 필요

AWS WAF 및 AWS WAF Regional
• AWS WAF는 CloudFront Distribution에, WAF Regional은 ELB에
적용 가능한 HTTP 전문 방화벽 서비스
• 둘 다 비슷한 형태로 Origin/Target Group에 HTTP 트래픽이
들어가기 전에 Rule-based로 트래픽을 차단할 수 있음.
• 특히, HTTP Request의 Header나 Body를 직접 분석하고
올바르지 않은 접근 패턴을 모두 차단할 수 있음

AWS WAF 구성 요소
• Condition
• 어떤 트래픽을 필터링할 것인지 결정한다.
• 예를 들어 아래와 같은 필터링 조건을 만들 수 있다.
• Request의 특정 필드에 특수한 패턴이 포함되어 있는지 여부
• 특정 IP CIDR Block/Geolocation에서 오는 트래픽인지 여부
• Rule
• Condition들의 조합으로 트래픽에 규칙을 설정한다.
• Condition을 그대로 사용할 수도 있고, Condition의 역(Negation)을
사용할 수도 있다.

AWS WAF 구성 요소
• WebACL
• 지정한 Rule을 만족할 때 트래픽을 허용할지, 차단할지, Count할지
결정이 가능하다.
• 여러 Rule을 만족하는 트래픽의 경우, 정해진 우선순위에 따라
허용/차단 여부가 결정된다.
• 모든 허용/차단 관련 Rule을 만족하지 않는 경우 Default Action에
따라 허용/차단 여부가 결정된다.

PUBG에서 AWS WAF를 선택한 이유
• WAF
• Cloudfront로 들어오는 트래픽을 선택적으로 차단/허용할 수 있는
유일한 방법이었음.
• 우리 팀이 원하지 않는 유형의 서비스 접근을 각종 Condition을 이용해
효과적으로 차단이 가능했음.
• WAF Regional
• ELB Target Group에 들어가기 전에 트래픽을 걸러줘서 유효하지 않은
트래픽이 들어와도 우리 서버에 부하를 안 주고 차단할 수 있음.

AWS WAF 적용 후 인프라 구성
ELB
Internet
Cloudfront
1. 트래픽이 Cloudfront로
들어옴
2. WAF Rule Evaluation을 통한
트래픽 허용/차단 결정
3. 허용 결정시
Target Group으로
트래픽 전달
4. WAF Regional Rule
Evaluation을 통한 유효한 접근
여부 판단

Case 1. 유효하지 않은 접근 차단
ELB
Internet
Cloudfront
1. 외부 트래픽이
Cloudfront로 들어옴
2. WAF Rule에 부합하지 않아
트래픽 차단
특정 패턴을 가진
HTTP 트래픽이 오면
차단

Case 2. 유효하지 않은 접근 차단
ELB
Internet
1. 외부 트래픽이 Cloudfront를 무시하고
ELB로 직접 들어옴
2. WAF Regional Rule에
부합하지 않아 트래픽 차단
예상치 못한 패턴을
가진 HTTP 트래픽은
차단

Case 3. 점검 중 외부 유저 차단
ELB
Internet
Cloudfront
1. 외부 트래픽이
Cloudfront로 들어옴
2. WAF Rule에 부합하지 않아
트래픽 차단
1. 지정한 IPSet에 있는
IP로부터 온 요청만 허용
2. 기본: 차단
3. WAF Block시
점검 중을 알리는
특수 response 전달

설정한 Rule이 잘 동작하는지 관찰하기

• 그 외에도 할 수 있는 것들
• WAF Logging
• Support Case에 큰 도움이 되니 웬만해선 활성화 하는 것이 좋다!
• Cloudfront, ELB Access Log를 Athena를 이용해서 분석하기
설정한 Rule이 잘 동작하는지 관찰하기

우리의 전략
• Websocket 서버 특성상, 유효한 요청은 모두 101 Response를
받게 되어있음.
• Tit-for-tat
• AWS Athena를 이용해 Cloudfront의 Access Log 분석
• 101 Response가 아닌 패킷들의 유형 분석 후 Rule로 반영
• 예시) 로비 서버에 의미 없는 curl request를 보낸다면?
• User-Agent가 curl인 request를 전부 Block하도록 조치한다

AWS WAF 도입 후 리뷰

800만 요청 중 10건 내외의 404 응답 및 Cloudfront 오류 제외,
비정상 접근을 잘 차단하는 것을 확인함.

• 차단으로 인한 공격 감소 피드백
• Tit-for-tat 전략으로 Block Rule 추가 시, 해당 유형의 트래픽 감소세를
시간이 지남에 따라 확인 가능했음
• 비정상 접근을 차단할 경우, 공격자가 공격의 실효성을 느끼지 못 해
공격을 줄이는 것으로 추정
• 비교적 단순한 휴리스틱 접근도 효과적이었다!

• CloudFront로 서버 이전 한 이후에도 점검 시 AWS WAF를
이용해서 외부 트래픽을 효과적으로 막을 수 있었음
• 그러나 AWS WAF에서도 예상치 못한 이벤트가 발생할 수 있음
• WAF/WAF Regional에 문제가 있어 Rule Evaluation이 이루어지지 않는
경우, CloudFront/ELB는 WAF를 무시하고 요청을 계속 처리한다.
• 이 경우, ELB는 요청을 차단하는 반면, CloudFront는 요청을 허용한다!
• 이 부분은 현재 Feature Request 진행 중에 있음

• Websocket을 WAF로 다룰 때의 한계점
• Websocket은 크게 두 phase로 통신한다.
• HTTP를 이용한 Handshake
• Handshake 후 Websocket connection으로 upgrade
• WAF는 HTTP 요청에 대해서만 작동한다.
• 이미 맺어진 websocket connection의 경우, 명시적으로 origin에서 끊어줘야
한다.

결론
• 로비 서버를 CloudFront로 서비스하며 두 가지 문제를 겪었다.
• 유효하지 않은 요청을 다수 보내는 형식의 DDoS 정황을 포착했고,
효과적으로 막을 방법이 필요했다.
• 점검시 CloudFront Distribution으로 들어오는 트래픽의 차단 방법이
필요했다.
• AWS WAF의 기본 기능만을 활용하여 위의 두 문제를
효과적으로 해결할 수 있었다.

AWS WAF 요약 정리
커스텀 규칙으로
웹 요청 필터링
• Rate-based rules
• IP match and Geo-IP filters
• RegEx and string match
• Size constraints
• Action: allow/block
악의적인 요청 차단
• SQLi
• Cross-site scripting (XSS)
모니터링 및 튜닝 지원
• Amazon CloudWatch
metrics and alarms
• Sampled logs
• Count action mode

AWS WAF는 보안 몰라도 관리가 되나요?
• AWS 또는 AWS 보안 파트너에 의해 작성된
사전 정의 규칙 제공
• 다양한 목적에 따라 제공 예)
- WordPress와 같은 특정 어플리케이션 대상
- OWASP Top 10 취약점 방어
• 보안 위협의 변화에 따른 자동 업데이트
• 사용 기간 만큼의 과금

가시화 (VISIBILITY)
• CloudWatch 대시보드 기능 활용
• DDoS 상황 시, CloudWatch 지표가
평상시와 급격히 다른 값을 시각화
• 주요 지표에 따른 Alarm 설정
주요 CloudWatch 지표
AWS WAF
• Allowed vs Blocked requests
Amazon CloudFront
• Requests
• BytesDownloaded
• TotalErrorRate (4xx and 5xx)
Elastic Load Balancing (ELB)
• HealthyHostCount
• UnHealthyHostCount
• SurgeQueueLength
• SpilloverCount
Auto Scaling Groups (ASG)
• CPUUtilization
• NetworkIn
• NetworkOut
경고 발생
새로운 규칙 테스트 최종 규칙 적용
CF 지표 및 WAF
샘플 로그 리뷰

자동화 (Automation)
• CloudFront 또는
ALB의 로그를
Athena를 통해
정교한 쿼리 분석
가능
• 3rd party 블랙리스트
IP의 정기적 자동
업데이트
• 허니팟을 이용한
비정상 IP 주소
블랙리스트 IP 등록
https://docs.aws.amazon.com/solutions/latest/aws-waf-security-automations/welcome.html

Layer3/4 상의 공격 및 방어
- AWS Shield Advanced 소개 및 사례

AWS Shield
AWS 통합
인프라 변경 없이
DDoS 대응
유연성
중요 어플리케이션에
선택 적용
합리적인 비용
최소의 비용으로
가용성 확보
Always-On 탐지
및 대응
지연 응답 최소화

AWS Shield and Shield Advanced
모든 AWS 고객에게 추가 비용 없이
제공
Standard Protection Advanced Protection
유료 추가 서비스로 추가적인 보호 및
기능 제공

AWS Shield
Standard
Built-in DDoS
Protection for
Everyone
DDoS
Expertise

AWS Shield
Standard & Advanced
모든 AWS 고객을
위한 기본 Built-in
DDoS 보호
추가 보호 기능 제공
24x7 access to
DDoS Response
Team (DRT)
DDoS 관련
CloudWatch 지표
제공
Attack 진단
글로벌 위협 현황
대시보드 제공
DDoS 대응
전문 영역
가시화 &
규제 준수
경제적 혜택
보호 자원에 대해
추가 비용 없이 AWS
WAF 사용
추가 비용 없이 AWS
Firewall Manager
사용
DDoS 대응에 사용된
추가 리소스 자원
비용 보존

AWS Shield Advanced
Elastic
Load Balancer
EC2
(Elastic IP address)
Amazon
CloudFront
Amazon
Route 53
지원되는 서비스…
ü 최근 오픈된 바레인, 홍콩을 제외한 모든 일반 리전
지원되는 리전…
AWS
Global Accelerator

N*사 사례
• STEAM 기반의 온라인 FPS 게임 개발 및 운영
• AWS의 여러 리전에서 전 세계 사용자 대상으로 서비스
• 게임 사용자가 게임 서버 접근 시, UDP 사용
• 반복되는 DDoS 공격으로 대응 솔루션 검토
• 가장 비용이 저렴하고 초기 투자 비용이 없는 AWS의 Shield
Advanced를 선택

N*사 사례 (계속)
• 공격 형태
- 특정 리전의 게임서버가 주된 대상이며
대략 한번 발생시 1~2시간정도 서버를
돌려 접근하며 발생
- 공격 발생 시, 서버 접근도 불가할 정도로
많은 트래픽이 서버로 수신
- 공격 발생 시, AWS Shield 콘솔에서 최대
11가지의 다양한 DDoS 공격 패턴 탐지

• 공격 대응
- Shield Advanced 가입 후, 전반적인 트래픽 감소 시기가 빨라지는 것을
확인, 하지만, 게임사용자의 임팩트가 만족할 만한 수준이 아님
- 1차 대응: DRT와의 연계로 해당 VPC로 유입되는 모든 DNS 트래픽 차단
è 만족스럽지 못 함
- 2차 대응 후보: DRT팀에서 패킷의 크기 제한 필터나 패킷 내에 특정
시그너처에 의한 필터 제의
- 2차 대응안: 고객의 UDP 패킷의 최대값이 600바이트 이내임을
확인하고 이보다 큰 사이즈의 모든 UDP 패킷 필터 규칙 적용
- 고객은 이 규칙의 항시 적용을 요구 하였으나, 커스텀 패킷 필터 규칙은
항시 적용이 안 되고 DDoS 공격 발생시 자동 활성화 되는 방식

• 새로운 규칙의 적용 결과
- UDP 패킷 크기에 따른 필터 규칙의 테스트 필요: 정상 패킷이 필터되지
않는지 확인 필요 è DRT의 협조에 의해 예외적인 테스트 진행
- 29개의 Elastic IP 자원에 대해 해당 커스텀 규칙 적용
- 실제 공격 발생 시, 1-2분 이내 트래픽이 차단됨
- 비정상 패킷 발생 시, 고객 게임 프로세스 덤프 발생 è 향후 예외 처리
추가 필요

POKÉMON GO w/ Shield Adv.
• 7억 5천만 다운로드의 대성공
• 대규모 봇, 스캐너, DDoS 공격 발생
• 부모의 동의를 받고 게임을 할 수 있는 PTC 기능이
AWS 상에서 동작
• Cloud-routed WAF 서비스를 받았으나 게임의
대성공으로 이한 대규모 트래픽을 서비스 업체가
감당하지 못 함
• 대규모 이벤트 2주 앞서 Shield Advanced로 이전
• 더 낮은 지연시간의 WAF와 안정적인 로깅 및 분석
환경 구성

모범 사례 (Best Practices)

게임을 위한 AWS DDoS 모범사례
• AWS 에지 서비스의 아키텍처 반영
- CloudFront, Route53, Global Accelerator
• 인증된 소스 IP 주소의 저장
- 공격 발생 시, 실제 사용자들을 분리할 수 있는 정보 획득
- 해당 정보를 S3에 저장하고 DRT팀과 공유
- DRT 팀은 해당 정보에 근거하여 실제 사용자 트래픽과 DDoS 트래픽을
필터링

• AWS Shield Advanced를 이용하여 게임 서비스 보호
• Amazon CloudWatch 빠른 공격 탐지
• DDoS Response Team (DRT)과 협업으로 빠르고 효과적인 공격 대응

• DDoS 영향받지 않는 아키텍처
• Amazon EC2: 고성능 네트워크
인스턴스 사용
• Amazon EC2: 인스턴스 타입과 크기
• Amazon VPC: Network ACL 사용
공격 영향을 없애기 위한
게임 서비스 확장} Stateless 필터를 통해 경계
네트워크에서 DDoS 트래픽
차단

여러분의 피드백을 기다립니다!
Games on AWS 2019 QR코드를 통해
강연평가 및 설문조사에 참여해 주시면 최신
랩탑 배낭을 드립니다!
여러분의 소중한 의견 부탁 드립니다.
#GamesOnAWS 해시태그와 함께
소셜미디어에 여러분의 행사 소감을 올려주세요.

[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS에서 분산 서비스 거부 공격(DDoS)을 고민하지 않는 방법 및 사례 소개 - 이정훈 AWS 솔루션즈 아키텍트, 홍석주 PUBG

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to [Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS에서 분산 서비스 거부 공격(DDoS)을 고민하지 않는 방법 및 사례 소개 - 이정훈 AWS 솔루션즈 아키텍트, 홍석주 PUBG

Similar to [Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS에서 분산 서비스 거부 공격(DDoS)을 고민하지 않는 방법 및 사례 소개 - 이정훈 AWS 솔루션즈 아키텍트, 홍석주 PUBG (20)

More from Amazon Web Services Korea

More from Amazon Web Services Korea (20)

Recently uploaded

Recently uploaded (7)

[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS에서 분산 서비스 거부 공격(DDoS)을 고민하지 않는 방법 및 사례 소개 - 이정훈 AWS 솔루션즈 아키텍트, 홍석주 PUBG