기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
지표 및 경보
가장 좋은 방법은 인프라 및 애플리케이션 모니터링 도구를 사용하여 애플리케이션의 가용성을 확인하여 애플리케이션이 이벤트의 영향을 받지 않도록 하는 것입니다. 옵션으로, DDoS 이벤트 감지를 개선하는 데 도움이 되도록 리소스에 대한 애플리케이션 및 인프라 Route 53 상태 검사를 구성할 수 있습니다. DDoS 상태 확인에 대한 자세한 내용은 Firewall Manager 및 Shield 고급 개발자 가이드를 참조하십시오AWS WAF.
주요 운영 지표가 예상 값에서 크게 벗어나는 경우 공격자는 애플리케이션의 가용성을 목표로 삼으려고 할 수 있습니다. 애플리케이션의 정상적인 동작을 잘 알고 있으면 이상 징후를 감지했을 때 더 빠르게 조치를 취할 수 있습니다. Amazon은 실행 중인 애플리케이션을 모니터링하여 도움을 줄 CloudWatch 수 AWS있습니다. 예를 들어, 지표를 수집 및 추적하고, 로그 파일을 수집 및 모니터링하고, 경보를 설정하고, AWS 리소스 변경에 자동으로 대응할 수 있습니다.
애플리케이션을 설계할 때 DDoS -resilient 참조 아키텍처를 따르는 경우 일반적인 인프라 계층 공격이 애플리케이션에 도달하기 전에 차단됩니다. 를 AWS Shield Advanced구독하면 애플리케이션이 표적이 되고 있음을 나타내는 여러 CloudWatch 메트릭에 액세스할 수 있습니다.
예를 들어 DDoS 공격이 진행 중일 때 알림을 받도록 경보를 구성하여 애플리케이션의 상태를 확인하고 참여 여부를 결정할 수 있습니다. AWS SRT 공격이 탐지되었는지 여부를 알려주도록 DDoSDetected 메트릭을 구성할 수 있습니다. 공격 볼륨에 따라 알림을 받으려면 DDoSAttackBitsPerSecondDDoSAttackPacketsPerSecond, 또는 DDoSAttackRequestsPerSecond 지표를 사용할 수도 있습니다. 자체 CloudWatch 도구와 통합하거나 타사에서 제공하는 도구 (예: Slack 또는) 를 사용하여 이러한 지표를 모니터링할 수 있습니다. PagerDuty
애플리케이션 계층 공격은 많은 Amazon CloudWatch 지표를 높일 수 있습니다. 를 사용하는 경우 허용 AWS WAF, 계산 또는 CloudWatch 차단하도록 설정한 요청 증가에 대한 경보를 모니터링하고 AWS WAF 활성화하는 데 사용할 수 있습니다. 이렇게 하면 트래픽 수준이 애플리케이션이 처리할 수 있는 수준을 초과할 경우 알림을 받을 수 있습니다. 또한 CloudWatch 추적되는 Amazon CloudFront, Amazon Route 53, Application Load Balancer, Network Load Balancer, EC2 Amazon 및 Auto Scaling 지표를 사용하여 공격을 나타낼 수 있는 변경 사항을 탐지할 수 있습니다. DDoS
다음 표에는 공격을 탐지하고 이에 대응하는 데 일반적으로 사용되는 CloudWatch 지표에 대한 설명이 나와 있습니다. DDoS
표 3 - 아마존 권장 CloudWatch 측정치
| 주제 | 지표 | 설명 |
|---|---|---|
| AWS Shield Advanced |
DDoSDetected
|
특정 Amazon 리소스 이름 (ARN) 에 대한 DDoS 이벤트를 나타냅니다. |
| AWS Shield Advanced |
DDoSAttackBitsPerSecond
|
특정 DDoS ARN 이벤트에서 관찰된 바이트 수입니다. 이 지표는 레이어 3 또는 4 DDoS 이벤트에만 사용할 수 있습니다. |
| AWS Shield Advanced |
DDoSAttackPacketsPerSecond
|
특정 DDoS ARN 이벤트에서 관찰된 패킷 수입니다. 이 지표는 레이어 3 또는 4 DDoS 이벤트에만 사용할 수 있습니다. |
| AWS Shield Advanced |
DDoSAttackRequestsPerSecond
|
특정 DDoS 이벤트에서 관찰된 요청 수입니다ARN. 이 지표는 계층 7 DDoS 이벤트에만 사용할 수 있으며 가장 중요한 계층 7 이벤트에 대해서만 보고됩니다. |
| AWS WAF |
AllowedRequests
|
허용된 웹 요청의 수. |
| AWS WAF |
BlockedRequests
|
차단된 웹 요청의 수. |
| AWS WAF |
CountedRequests
|
계수된 웹 요청의 수. |
| AWS WAF |
PassedRequests
|
전달된 요청의 수입니다. 규칙 그룹 규칙과 일치하지 않고 규칙 그룹 평가를 거치는 요청에만 사용됩니다. |
| 아마존 CloudFront |
Requests
|
HTTPA/S 요청 수. |
| 아마존 CloudFront |
TotalErrorRate
|
HTTP상태 코드가 4xx OR인 모든 요청의 백분율5xx. |
| Amazon Route 53 |
HealthCheckStatus
|
상태 확인 엔드포인트의 상태입니다. |
| Application Load Balancer |
ActiveConnectionCount
|
클라이언트에서 로드 밸런서로, 로드 밸런서에서 타겟으로 활성 상태인 총 동시 TCP 연결 수입니다. |
| Application Load Balancer |
ConsumedLCUs
|
로드 밸런서에서 사용하는 로드 밸런서 용량 단위 수 (LCU). |
| Application Load Balancer |
HTTPCode_ELB_4XX_Count
HTTPCode_ELB_5XX_Count |
로드 밸런서에서 생성된 HTTP 4xx 또는 5xx 클라이언트 오류 코드의 수 |
| Application Load Balancer |
NewConnectionCount
|
클라이언트에서 로드 밸런서로, 로드 밸런서에서 타겟으로 설정된 총 새 TCP 연결 수입니다. |
| Application Load Balancer |
ProcessedBytes
|
로드 밸런서에서 처리된 총 바이트 수. |
| Application Load Balancer |
RejectedConnectionCount
|
로드 밸런서가 최대 연결 수에 도달하여 거부된 연결 수 |
| Application Load Balancer |
RequestCount
|
처리된 요청 수입니다. |
| Application Load Balancer |
TargetConnectionErrorCount
|
로드 밸런서와 대상 사이에 성공적으로 구성되지 않은 연결 수. |
| Application Load Balancer |
TargetResponseTime
|
요청이 로드 밸런서를 떠난 후 대상으로부터 응답을 받을 때까지 경과된 시간 (초) 입니다. |
| Application Load Balancer |
UnHealthyHostCount
|
비정상 상태로 간주되는 대상 수. |
| Network Load Balancer |
ActiveFlowCount
|
클라이언트에서 타겟까지의 총 동시 TCP 흐름 (또는 연결) 수입니다. |
| Network Load Balancer |
ConsumedLCUs
|
로드 밸런서에서 사용하는 로드 밸런서 용량 단위 수 (LCU). |
| Network Load Balancer |
NewFlowCount
|
일정 기간 동안 클라이언트에서 대상까지 설정된 새 TCP 흐름 (또는 연결) 의 총 수입니다. |
| Network Load Balancer |
ProcessedBytes
|
TCP/IP 헤더를 포함하여 로드 밸런서에서 처리한 총 바이트 수입니다. |
| Global Accelerator |
NewFlowCount
|
일정 기간 동안 클라이언트에서 엔드포인트로 설정된 새 TCP UDP 플로우 (또는 연결) 의 총 수입니다. |
| Global Accelerator |
ProcessedBytesIn
|
/IP 헤더를 포함하여 TCP 액셀러레이터에서 처리된 총 수신 바이트 수입니다. |
| Auto Scaling |
GroupMaxSize
|
Auto Scaling 그룹 의 최대 크기입니다. |
| 아마존 EC2 |
CPUUtilization
|
할당된 EC2 컴퓨팅 유닛 중 현재 사용 중인 컴퓨팅 유닛의 비율. |
| 아마존 EC2 |
NetworkIn
|
모든 네트워크 인터페이스에서 인스턴스가 받은 바이트 수입니다. |
CloudWatch Amazon을 사용하여 애플리케이션에 대한 DDoS 공격을 탐지하는 방법에 대한 자세한 내용은 Amazon 시작하기를 참조하십시오 CloudWatch.
AWS 공격에 대해 알리고 애플리케이션 리소스를 모니터링하는 데 도움이 되는 몇 가지 추가 지표 및 경보가 포함되어 있습니다. AWS Shield 콘솔 또는 계정별 이벤트 요약 및 탐지된 공격에 대한 세부 정보를 API 제공합니다.
글로벌 활동은 다음을 통해 탐지되었습니다. AWS Shield
또한 글로벌 위협 환경 대시보드는 에서 탐지된 모든 DDoS 공격에 대한 요약 정보를 제공합니다 AWS. 이 정보는 공격 경향 외에도 많은 응용 프로그램에 걸친 DDoS 위협을 더 잘 이해하고 관찰했을 수 있는 공격과 비교하는 데 유용할 수 있습니다.
에 AWS Shield Advanced가입한 경우 서비스 대시보드에는 보호된 리소스에서 탐지된 이벤트에 대한 추가 탐지 및 완화 지표와 네트워크 트래픽 세부 정보가 표시됩니다. AWS Shield 보호 대상 리소스로 향하는 트래픽을 여러 차원에서 평가합니다. 예외가 감지되면 이벤트를 AWS Shield 생성하고 이상이 관찰된 트래픽 차원을 보고합니다. 적절한 완화 기능을 사용하면 알려진 이벤트 시그니처와 일치하는 과도한 트래픽 및 트래픽이 리소스에 수신되지 않도록 보호할 수 있습니다. DDoS
탐지 ACL 지표는 웹이 보호된 리소스와 연결된 경우 샘플링된 네트워크 흐름 또는 AWS WAF 로그를 기반으로 합니다. 완화 지표는 Shield의 DDoS 완화 시스템에서 관찰한 트래픽을 기반으로 합니다. 완화 지표는 리소스로 유입되는 트래픽을 보다 정확하게 측정한 것입니다.
네트워크 상위 기여자 지표는 감지된 이벤트 중에 트래픽이 어디서 오는지에 대한 통찰력을 제공합니다. 볼륨 기여도가 가장 높은 요인을 확인하고 프로토콜, 소스 포트, 플래그와 같은 항목별로 정렬할 수 있습니다. TCP 상위 기여자 지표에는 다양한 차원을 기준으로 리소스에서 관찰된 모든 트래픽에 대한 지표가 포함됩니다. 이벤트 중에 리소스로 전송되는 네트워크 트래픽을 이해하는 데 사용할 수 있는 추가 지표 측정기준을 제공합니다. 비반사 계층 3 또는 4 공격의 경우 소스 IP 주소가 스푸핑되어 신뢰할 수 없다는 점을 염두에 두십시오.
서비스 대시보드에는 공격을 완화하기 위해 자동으로 취해진 조치에 대한 세부 정보도 포함되어 있습니다. DDoS 이 정보를 통해 더 쉽게 이상 현상을 조사하고, 트래픽의 차원을 탐색하고, Shield Advanced가 가용성을 보호하기 위해 취한 조치를 더 잘 이해할 수 있습니다.
