반응형
DDoS(Distributed Denial of Service) 공격을 받았을 때 가장 먼저 해야 할 일은 무엇일까요? 방화벽이나 전용 DDoS 방어 장비가 없는 상황에서도 네트워크 스위치만으로 할 수 있는 응급 대응 방법들이 있습니다. 이번 글에서는 Cisco, HP, Juniper 등 주요 벤더의 스위치에서 실제로 사용할 수 있는 명령어와 설정 방법을 중심으로, DDoS 공격 상황에서 네트워크를 보호하는 실무적인 대응 전략을 알아보겠습니다. 트래픽 모니터링부터 ACL 설정, Rate Limiting까지 단계별로 따라해볼 수 있는 구체적인 방법들을 준비했습니다.
1단계: 상황 파악부터 시작하자
DDoS 공격이 의심될 때 가장 먼저 해야 할 일은 현재 상황을 정확히 파악하는 것입니다.
Cisco 스위치에서 트래픽 모니터링
# 인터페이스별 트래픽 현황 확인
show interface summary
# 특정 인터페이스의 상세 통계
show interface gigabitethernet 0/1 counters
# CPU 사용률 확인
show processes cpu sorted
# 메모리 사용량 확인
show memory summaryHP(Aruba) 스위치 모니터링
# 포트별 트래픽 통계 확인
show interface brief
# 상위 트래픽 발생 포트 확인
show interface counters
# 시스템 리소스 확인
show system resource-utilization실제로 제가 경험했던 사례를 보면, 평상시 10Mbps 정도 사용하던 인터페이스에서 갑자기 800Mbps 이상의 트래픽이 몰리면서 전체 네트워크가 마비되는 상황이 발생했습니다. 이때 show interface counters 명령어로 어느 포트에서 이상 트래픽이 발생하는지 빠르게 파악할 수 있었죠.
2단계: 즉시 적용할 수 있는 응급 차단 방법
Rate Limiting으로 트래픽 제한
가장 빠르게 적용할 수 있는 방법은 포트별 대역폭 제한입니다.
Cisco 스위치:
# 글로벌 설정 모드 진입
configure terminal
# 특정 인터페이스 설정
interface gigabitethernet 0/1
# 입력 트래픽을 100Mbps로 제한
rate-limit input 100000000 1875000 3750000 conform-action transmit exceed-action drop
# 출력 트래픽을 100Mbps로 제한
rate-limit output 100000000 1875000 3750000 conform-action transmit exceed-action drop
# 설정 저장
copy running-config startup-configHP(Aruba) 스위치:
# VLAN 1의 특정 포트에 대역폭 제한
interface ethernet 1/1/1
rate-limit ingress percent 50
rate-limit egress percent 50의심스러운 MAC 주소 차단
# Cisco - 특정 MAC 주소 차단
configure terminal
mac access-list extended BLOCK_MAC
deny any host 00:11:22:33:44:55 any
permit any any any
interface gigabitethernet 0/1
mac access-group BLOCK_MAC in3단계: ACL을 활용한 정교한 트래픽 필터링
IP 기반 차단 정책 설정
Cisco 스위치에서 확장 ACL 설정:
# IP ACL 생성
ip access-list extended DDOS_BLOCK
# 특정 IP 대역에서 들어오는 모든 트래픽 차단
deny ip 192.168.100.0 0.0.0.255 any
# TCP SYN Flood 공격 대응 - 새로운 TCP 연결 제한
deny tcp any any syn log
# ICMP Flood 차단
deny icmp any any echo
# UDP Flood 차단 (DNS 등 필요한 포트 제외)
deny udp any any range 1 52
deny udp any any range 54 1023
# 정상 트래픽 허용
permit ip any any
# 인터페이스에 적용
interface gigabitethernet 0/1
ip access-group DDOS_BLOCK in포트 기반 차단
# HTTP/HTTPS 포트로의 과도한 연결 차단
ip access-list extended WEB_PROTECTION
deny tcp any any eq 80 syn log
deny tcp any any eq 443 syn log
permit tcp any any eq 80 established
permit tcp any any eq 443 established
permit ip any any4단계: 고급 보호 기능 활용
Storm Control 설정
브로드캐스트/멀티캐스트 스톰을 방지하는 기능입니다.
Cisco:
interface range gigabitethernet 0/1 - 24
storm-control broadcast level 10.00 5.00
storm-control multicast level 10.00 5.00
storm-control action shutdownHP(Aruba):
interface ethernet 1/1/1 to 1/1/24
broadcast-limit 10
multicast-limit 10DHCP Snooping으로 스푸핑 공격 차단
# Cisco - DHCP Snooping 활성화
ip dhcp snooping
ip dhcp snooping vlan 1
# 신뢰할 수 있는 포트 설정 (DHCP 서버가 연결된 포트)
interface gigabitethernet 0/24
ip dhcp snooping trust
# 클라이언트 포트의 DHCP 요청 제한
interface range gigabitethernet 0/1 - 23
ip dhcp snooping limit rate 55단계: 모니터링과 로깅 강화
상세 로깅 설정
# Cisco - 로깅 레벨 설정
logging buffered 8192 informational
logging console warnings
logging monitor informational
# ACL 매치 로깅 활성화
ip access-list extended DDOS_BLOCK
deny ip any any log-input
# 실시간 로그 모니터링
show logging | include DDOS_BLOCKSNMP를 통한 원격 모니터링
# SNMP v2c 설정
snmp-server community public ro
snmp-server location "Server Room"
snmp-server contact "admin@company.com"
# 트랩 설정
snmp-server enable traps snmp linkdown linkup
snmp-server host 192.168.1.100 version 2c public실전 대응 시나리오별 스크립트
시나리오 1: HTTP Flood 공격 대응
# 1분간 HTTP 요청을 모니터링
show ip traffic | include TCP
# HTTP 포트 80으로의 과도한 연결 차단
ip access-list extended HTTP_FLOOD_PROTECTION
permit tcp any any eq 80 established
deny tcp any any eq 80 syn log
permit ip any any
interface gigabitethernet 0/1
ip access-group HTTP_FLOOD_PROTECTION in시나리오 2: UDP Amplification 공격 대응
# DNS Amplification 공격 차단
ip access-list extended BLOCK_DNS_AMP
deny udp any any eq 53 packet-length gt 512
permit udp any any eq 53
permit ip any any
# NTP Amplification 차단
deny udp any any eq 123 packet-length gt 48
permit udp any any eq 123주의사항과 롤백 준비
DDoS 대응 중에는 정상 사용자의 접근까지 차단될 수 있으므로, 항상 롤백 계획을 준비해두어야 합니다.
# 현재 설정 백업
copy running-config flash:backup-before-ddos.cfg
# 긴급 롤백 명령 (모든 ACL 제거)
configure terminal
interface gigabitethernet 0/1
no ip access-group DDOS_BLOCK in
no rate-limit input
no rate-limit output마무리: 예방이 최선의 방어
네트워크 스위치로 할 수 있는 DDoS 대응은 분명 한계가 있습니다. 하지만 전용 장비가 없는 상황에서도 이런 기본적인 방어 메커니즘으로 어느 정도 피해를 줄일 수 있습니다.
무엇보다 중요한 것은 평상시 네트워크 트래픽 패턴을 파악해두고, 정기적으로 보안 설정을 점검하는 것입니다. 그리고 DDoS 공격을 받았을 때는 당황하지 말고 단계별로 차근차근 대응해나가는 것이 핵심입니다.
반응형
'네트워크' 카테고리의 다른 글
| [네트워크]IP 라우팅 시리즈: Day 2 - 제2장. 정적 경로 (0) | 2025.09.19 |
|---|---|
| [네트워크] IP 라우팅 시리즈: Day 1 - 제1장. 라우팅 개요 (0) | 2025.09.15 |
| 2025년 네트워크 엔지니어 필수??? 명령어 완벽 가이드 🌐 (0) | 2025.09.09 |
| [네트워크] 패킷 손실(Packet Loss), 스위치에서 원인 찾아보기 (0) | 2025.09.09 |
| [네트워크] 스위치 L2와 L3 차이점 실무 관점에서 완벽 정리 (0) | 2025.09.08 |