플러스프로젝트 배경
최근 DDoS(Distributed Denial of Service) 공격이 급증하고 있으며, 저렴한 비용으로 대규모 공격을 제공하는 DaaS(DDoS as a Service)의 확산으로 기업 서비스 운영에 심각한 위협이 되고 있다. 이러한 공격에 대응하기 위해 다양한 기술이 사용되고 있으나, 각각 한계점을 가지고 있다.
DDoS 공격 대응에 주로 사용되는 기술로는 DPI(Deep Packet Inspection)와 DPDK(Data Plane Development Kit)가 있다. DPI는 패킷의 헤더와 페이로드를 모두 검사하기 때문에 대용량 패킷을 분석하고 필터링하는 데 한계가 있다. DPDK는 네트워크 스택을 우회하여 사용자 공간에서 다중으로 패킷을 처리하기 때문에 고성능 하드웨어를 필요로 한다.
따라서 기존 처리 방법의 한계를 극복하기 위해 eBPF(extended Berkeley Packet Filter)와 XDP(eXpress Data Path) 기술의 활용 방안을 제안한다. eBPF/XDP는 커널 수준에서 동작하여 효율적인 패킷 처리가 가능하며, 저사양 환경에서도 높은 성능을 발휘할 수 있다. 또한, 각 국가별 서버에 BGP를 통한 Anycast 네트워크를 구축하여 트래픽이 분산되도록하여 리소스 부담을 경감 시킬 수 있다.
DDoS 공격 대응에 주로 사용되는 기술로는 DPI(Deep Packet Inspection)와 DPDK(Data Plane Development Kit)가 있다. DPI는 패킷의 헤더와 페이로드를 모두 검사하기 때문에 대용량 패킷을 분석하고 필터링하는 데 한계가 있다. DPDK는 네트워크 스택을 우회하여 사용자 공간에서 다중으로 패킷을 처리하기 때문에 고성능 하드웨어를 필요로 한다.
따라서 기존 처리 방법의 한계를 극복하기 위해 eBPF(extended Berkeley Packet Filter)와 XDP(eXpress Data Path) 기술의 활용 방안을 제안한다. eBPF/XDP는 커널 수준에서 동작하여 효율적인 패킷 처리가 가능하며, 저사양 환경에서도 높은 성능을 발휘할 수 있다. 또한, 각 국가별 서버에 BGP를 통한 Anycast 네트워크를 구축하여 트래픽이 분산되도록하여 리소스 부담을 경감 시킬 수 있다.
프로젝트 성과
타 기술 대비 리소스 사용률 최대 83.87% 감소
기존의 nDPI와 DPDK 기술과 제안된 eBPF/XDP 방식을 비교하여 성능 테스트
2 Core 에서 71.42%, 4 Core 에서 72.87%, 8 Core 에서 83.87% 감소한 리소스 사용률 기록
2 Core 에서 71.42%, 4 Core 에서 72.87%, 8 Core 에서 83.87% 감소한 리소스 사용률 기록
핵심 기능
대용량 트래픽 분산
국가별로 서버를 구성하고 BPG 프로토콜을 통한 Anycast 방식을 적용하여 트래픽을 각 국가로 분산
DDoS 대응과 지연시간, 가용성 확보
DDoS 대응과 지연시간, 가용성 확보
고성능 패킷 처리
네트워크카드(NIC) 윗단에 있는 커널 공간에서 eBPF/XDP를 통해 즉시 패킷 처리
비정상 패킷은 무시하고 정상 패킷만 사용자 공간으로 전송
불필요한 처리과정을 생략하여 저사양에서도 고성능으로 패킷 처리 가능
비정상 패킷은 무시하고 정상 패킷만 사용자 공간으로 전송
불필요한 처리과정을 생략하여 저사양에서도 고성능으로 패킷 처리 가능
진행 단계
관련 자료 조사 및 기술 학습
2024.05.
인당 관련 논문 1편 ~ 2편, 오픈소스 1개 리뷰 후 가이드라인 작성, 팀원들과 모여서 피드백, 관련 기술 학습(DDoS, eBPF/XDP, BGP, Anycast)
개발 및 논문 작성
2024.06.
팀원들이 담당했던 오픈소스 가이드라인을 기반으로 환경 구축 및 개발, 논문 투고를 위한 논문 작성
결과물 산출 및 최종 발표
2024.07.
동일 환경에서 테스트 후 리소스 사용량을 집계하여 비교 분석 후 논문에 기재, 지금까지 산출된 결과물 종합, 최종 프로젝트 결과 발표
프로젝트 상세
최근 DDoS(Distributed Denial of Service) 공격이 급증하고 있다.
저렴한 비용으로 대규모 공격을 제공하는 DaaS(DDoS as a Service)의 확산으로 기업 서비스 운영에 심각한 위협이 되고 있다.
이러한 공격에 대응하기 위해 주로 사용되는 기술들은 구현 난이도, 처리 속도, 고성능 장비 요구의 문제가 있다.
이를 해결하기 위해 BGP Anycast와 eBPF/XDP를 활용한 대용량 악성 패킷 필터 기술을 제안한다.
BGP 프로토콜을 이용한 Anycast 네트워크를 통해 각 국가로 트래픽을 분산시켜 1차로 리소스 부담을 줄여준다.
eBPF/XDP의 고성능 패킷 필터링 기능을 통해 2차로 리소스 부담을 줄여주어 동일 사양의 타 기술 대비 최대 2배의 효율로 비교적 많은 트래픽 처리가 가능하게 된다.
저렴한 비용으로 대규모 공격을 제공하는 DaaS(DDoS as a Service)의 확산으로 기업 서비스 운영에 심각한 위협이 되고 있다.
이러한 공격에 대응하기 위해 주로 사용되는 기술들은 구현 난이도, 처리 속도, 고성능 장비 요구의 문제가 있다.
이를 해결하기 위해 BGP Anycast와 eBPF/XDP를 활용한 대용량 악성 패킷 필터 기술을 제안한다.
BGP 프로토콜을 이용한 Anycast 네트워크를 통해 각 국가로 트래픽을 분산시켜 1차로 리소스 부담을 줄여준다.
eBPF/XDP의 고성능 패킷 필터링 기능을 통해 2차로 리소스 부담을 줄여주어 동일 사양의 타 기술 대비 최대 2배의 효율로 비교적 많은 트래픽 처리가 가능하게 된다.
