Cloudflare 를 이용해 여러 가지 유형의 DDoS를 방어하는 방법에 대해 설명합니다. DDoS 공격을 지금 받고 있을 때 어떻게 대응을 시작할지에 대해서도 다룹니다.

1. Cloudflare로 DDoS 방어하기: 실전편
Jean Ryu / 유지영
Solutions Engineer, Cloudflare

2. DNS & Load
Balancing DDoS FirewallTLS CDN
Rate
Limiting
WAF &
Bots
Rapid onboarding,
easy configurations,
fast propagation (within 5 seconds)
Cloudflare Data Center
Scalable global network with a
modern, unified architecture
across all datacenters
Integrated stack of
security, performance
and reliability services
Origin Server
On-Prem
Origin Server
On-Prem
Origin Server
Public Cloud
Edge
Compute
Origin Server
Public Cloud
Load Balance Across Environments
Smart
Routing

3. Expanding Global Network http://cloudflare.com/network

4. DDoS란 = Distributed Denial-of-Service attack
인터넷 서비스를 중단시키기 위한 사이버 공격
Up to 600,000 devices
(Mirai 2016)

5. 5
March 6th 2018, 1.7 Tbps

6. 6
August 2018: Mixed protocol

7. 9월 6일 Wikipedia DDoS
9시간동안 지속, 실서비스 영향
Image source: Thousandeyes

8. DDoS는 지금도 서비스 가용성을 위협하는
직관적인 위협입니다.
‘가성비’ 도 대단히 높아졌습니다.
(싼 값에 당신을 공격할 수 있습니다.)

9. DDoS as a Service

10. IDC의 ‘clean pipe’ 와
방어용량을 비교해보세요.
25Tb
20Tb
15Tb
10Tb
5Tb
30+ Tbps
Cloudflare
네트워크 방어용량
< 2 Tbps
역사적으로 가장 컸던
DDoS 공격 규모
0.001 Tbps 미만
인터넷 서비스의
준비된 대역폭 용량

11. Cloudflare는 ‘Reverse Proxy’
형태로 고객 사이트를 방어합니다.
L3/L4/L7 방어가 모두 제공되며
‘잘 설정하면’ 어떤 공격이든 방어합니다.
오늘 세션은 ‘어떻게 잘 설정하냐’에 대해
이야기합니다 :)

12. How to correctly configure
오리진은 Cloudflare 뒤에 잘 숨어
있어야 합니다.
1 - 주소가 노출되지 않도록 숨김
2 - 방화벽에서 bypass 요청 차단
L3/L4 volumetric 공격은 자동으로
방어됩니다.
3 - L7 volumetric 공격(e.g. F5
공격!) 을 비즈니스 로직에 따라
‘어떻게 처리할지' 결정하면 됩니다.

13. Example
104.18.161.55
209.80.153.232
customer.com
L3/L4 Volumetric attack
(ICMP, SYN flooding
etc)
Cloudflare 자동 방어
L3/L4 Volumetric attack이
직접 들어오지 않도록 설정
1 - 엔드포인트 감추기
2 - 방화벽 잠그기
L7 DDoS (GET flooding, POSTflooding etc)
Cloudflare 자동 방어 +비즈니스 / 오리진 용량에 따른커스텀 설정

14. 공격자가 오리진을 찾는 법: Archiving sites
서비스가 해당 IP로 인터넷에 노출된 적이 있다면 공격자들이 99.9% 찾아낼 수
있습니다. 여러 가지 찾아내는 방법 중 하나는 웹 기반 아카이빙 사이트입니다
a. censys.io
b. securitytrails.com - Historical Data
이와 같은 사이트에 들어가서 도메인을 검색해 보세요. 오리진 서버 주소가
노출되어 있다면 노출된 적이 없는 주소로 바꿔주고, 노출되지 않도록
Cloudflare Proxy 뒤에 숨겨야 합니다.

15. 공격자가 오리진을 찾는 법: Archiving sites

16. Cloudflare Proxy 뒤에 감추기
방어 대상 오리진으로 연결되는 호스트네임은 모두 프록시가 켜져 있어야 함
Grey-cloud (DNS only) 설정은 오리진 주소를 노출시키기 때문

17. Bypass 공격을 예방하기
https://cloudflare.com/ips 80/443 포트
오리진 방화벽에서 Cloudflare IP가 아닌 경우 drop 하도록 설정 (IPv4, IPv6 모두!)

18. 중요합니다!
올바른 origin 설정은 필수!
= Cloudflare 우회 공격을 받지 않는다
= 공격에 대한 visibility 를 확보할 수 있다

19. 보이면 쉽게 막을 수 있습니다

20. L7 DDoS를 막기 위해 커스텀 예방 설정이 필요한 이유
L3/L4 DDoS와 달리 GET Flooding은 일반 유저의 접속 폭주일 수 있기 때문

21. Best Practice
Preventive Rules (Simulate or Always on)

22. IP Access Rules 는 조심스럽게 활용해야
완전히 신뢰할 수 있는 IP 대역이 아니면 대규모로 whitelist 하지 않아야 함

23. WAF: Cloudflare의 Intelligence를 활용하기
#4 Fixes / patches deployed by the user
#3 Fixes / patches issued by vendor #2 Exploit attempts by attackers
#1 Discovery of a new vulnerability
(0-day)

24. WAF: Cloudflare의 Intelligence를 활용하기

25. Firewall Rules: 조직의 비즈니스 로직을 edge에 적용하기
비즈니스 요구나 새로운 공격 패턴이 보일 시 커스텀 룰로 준실시간 방어

26. Action: Block / CAPTCHA / JS Challenge

27. Analytics: Firewall Events
Cloudflare가 방어한 L3/4/7 DDoS, WAF, 커스텀 방어 룰의 통계를 확인하세요

28. 실전: DDoS가 일어나서 서버 부하가 발생하고 있다
어떻게 대응을 시작해야 할까요?

29. 1 - Analytics 에서 Traffic Spike 를 볼 수 있는가?
공격이 Cloudflare 를 Bypass 하고 오리진으로 직접 들어가는지 먼저 확인해야 합니다.
Spike 가 없어 Bypass 공격으로 판단되는 경우 오리진 best practice 설정을 적용해야 합니다.

30. 2 - Traffic 이 보인다면, 패턴을 파악합니다
공격 트래픽이 들어오는데 방어 룰이 없는 경우 Firewall Events 를 보고 공격의 패턴을 파악하여
Rate Limiting, Firewall Rule 등의 커스텀 보안 룰을 적용합니다.
Application 의 특성과 Origin의 용량에 맞는 로직을 적용하여 방어합니다.

31. 3 - 방어 성공
1-2번을 거치면 DDoS 방어를 완료할 수 있습니다.
룰 적용에 도움이 되는 추가 인사이트가 필요한 경우 Cloudflare Logs 를 참고할 수 있습니다.
예방 룰은 늘 켜져 있어야 하며, 룰 설정에 대한 빠른 지원이 필요한 경우 entsupport@cloudflare.com
혹은 핫라인 번호로 전화 문의를 하실 수 있습니다.

32. Tip: 빠르고 효율적으로 기술지원 받기
이슈에 대한 context와 technical information 을 함께 전달하면 질문을 덜 받고 해결할 수 있습니다.
좋은 티켓 예: (*Cloudflare 대시보드에 등록된 이메일로 보낼 것)
현재 저희가 운영하고 있는 엔터프라이즈 도메인에 7레벨 디도스 공격이 들어오는 것 같습니다. 한국시각 오후 3시부터 오리진
서버에 영향이 발생하고 있습니다. 오리진 접속은 Cloudflare 소스 IP 외에는 전부 방화벽에서 막혀 있고 대시보드에서 공격을
확인할 수 있는데 공격을 Cloudflare에서 바로 차단하기 위한 룰을 알려주세요. 긴급합니다.
<Google Translate> There seems to be a 7-level DDoS attack coming into our enterprise domain. The origin server has
been affected since 3:00 pm Korea time. All origin connections are blocked by the firewall except the Cloudflare source
IP, and you can see the attacks on the dashboard. Please tell us the rules for blocking attacks directly from Cloudflare.
It's urgent.
Domain: customer.com
Start Time: 2019. 9. 26. 15:00 KST~
Affecting Origin: 1.2.3.4
Symptom: Intermittent Origin Down and end users seeing 521 (HAR, Screenshot, Ray ID)

33. Case 1 - Cloudflare의 봇넷 intelligence 활용
Machine Learning 과 행동분석 기반의 Bot Management 솔루션
Attempts to log into and
take-over a user’s
account by automatically
applying previously
stolen account
credentials
Steals public information
from a website
Bots click on your ads and
register in your marketing
analytics.
Credential
Stuffing
Content
Scraping/Spam
Marketing
Ad-click Fraud
Fraudulently purchases
goods to deprive
legitimate customers or
resell for a higher price
Inventory
Hoarding
Credit Card
Stuffing
Tries to validate stolen
credit cards to then
make fraudulent
purchases

34. Case 1 - Cloudflare의 봇넷 intelligence 활용 (cont)
e.g. 워드프레스 로그인 엔드포인트에 봇이
사전기반 공격을 못하도록 차단하고 싶다:
● Filter: (http.request.uri.path contains
"wp-login.php" and
cf.client_trust_score lt 20) = Mitigate

35. Case 2 - 오리진 서버에 더 고급 보호가 필요하다
IP Spoofing 을 통한 DDoS 가능성을 완전히 차단하기 위해
Edge<-> Origin 연결에 Cloudflare Argo Tunnel 을 적용하고 오리진에서 방화벽을 닫음
Protect web servers from DDoS attacks directly against their
origin’s public IP address
When connected directly to Cloudflare, web servers can no longer be
directly attacked through open ports on public IP addresses with DDoS
or data theft attempts, keeping applications and APIs online and
performant.
206.221.179.46
Cloudflare Argo Tunnel

36. Case 3 - custom port 서비스에 DDoS 공격이 들어옴
Cloudflare Spectrum 을 이용하여 SSH, SFTP 외에도 커스텀 TCP, UDP 포트를 방어
Cloudflare Spectrum
Mitigate DDoS for TCP Protocols and Ports
Cloudflare Spectrum proxies all non-HTTPS TCP traffic through
the same 120+ cloudflare data centers, ensuring protection
against DDoS attacks targeting layers 3 and 4 across open ports.
Encrypt Non-HTTP/S TCP Traffic
Cloudflare Spectrum encrypts non-HTTP/S TCP traffic with
Universal SSL to protect against snooping of data in transit.
Block Traffic by IP or IP Range
Spectrum integrates with Cloudflare’s IP Firewall so that traffic
from specific IP or IP ranges can be dropped at the edge
2
1
Client
Encrypted
TCP Traffic
SSH
SMTP
SFTP
SSH
SMTP
SFTP
3
Client
SSH
SMTP
SFTP
IP
10.0.0.1
10.0.0.1

37. Case 4 - 서비스 방어뿐 아니라 데이터센터 방어가 필요
자체 도메인 뿐 아니라 /24 이상의 자체 IP, 자체 ASN,
라우터 스위치를 포함한 자체 데이터센터를 운영하고 이 센터 전체에 대한 DDoS 방어가 필요함
Connect:
Using BGP route
announcements customer
network traffic is ingested by
Cloudflare
Protect and Process:
All traffic inspected for attacks
automatically and immediately
Accelerate:
Clean traffic is routed back to
the customer network over
Cloudflare. Anycast GRE
tunnels deliver traffic to the
customer network
Cloudflare Magic Transit

38. Case 5 - 아예 필요한 사람만 접속하도록 인증시키기
인증 Policy를 대시보드에서 구성한 후 G-suite, Google, Okta, Azure 등의 IDP를 통해
로그인을 거쳐야 서비스에 접속하도록 URL별로 설정
e.g)
jean@cloudflare.com - 거부
kwangho@cloudflare.com - 승인
토큰 abcdj를 포함한 api request - 승인
Cloudflare Access

39. 39
감사합니다!
오늘 발표 및 Best Practice 설정 관련 질문 - jean@cloudflare.com
운영 이슈 및 긴급 기술 지원 - entsupport@cloudflare.com
계정 관리 일반 문의 - 담당 Customer Success Manager
Cloudflare 새소식 확인하기 - https://blog.cloudflare.com