한국인터넷진흥원에서 제공하는 중소기업용 서비스. DDoS 공격을 받고 있는 HTTP 웹 서비스의 서버 앞에 KISA의 WAF 서버를 두어 악의적인 트래픽을 거르고 실제 사용자의 트래픽만 원본 서버(사이트)로 보내주는 서비스다.
중소기업에게 무료로 제공되며, 이용 기간은 기본 1개월이다. 재공격이 예상된다면 1개월씩 연장할 수 있다고 한다.
특이사항
서비스
- 한국인터넷진흥원 ‘디지털위협대응본부’에서 운영하는 사업으로 보인다. (KISA)
- 전문적으로 DDoS나 봇을 차단하는 기능을 제공하는 상업 서비스(Cloudflare, AWS 등)와 유사하다. 다만 제공되는 기능에는 차이가 있는 것으로 보인다.
기술
보호나라에 게재된 참고자료를 기준으로 분석했다.
- 80, 443 포트에서 서비스 가능하고, HTTPS 접속을 위해선 키파일을 제출하여야 한다고 한다.
- 역방향 프록시를 이용해 원본 서버로 접속되기에
X-Forwarded-For헤더에서 아이피를 확인하여야 한다. 이는 다른 역방향 프록시나 로드밸런서, 유사 서비스 등지에도 해당된다.
- HTTP 관련 악성 트래픽도 방어를 지원하는 것으로 보이나, 단순 Ratelimit 방식으로 동작하는 것으로 보인다.
- 자동으로 이상행위를 차단해주는 것이 아니기에, 로그 분석을 통해 악성 행위가 지속되는 IP를 별도로 차단해야될 것으로 보인다.
- CDN 같은 캐시 기능도 제공하는 것으로 보인다. 별도로 요청하지 않으면 기본적으로 정적 컨텐츠를 캐싱한다고 한다.
- 서버가 여러 대인 경우 로드 밸런싱도 지원하는 것으로 보인다. Least Connection 방식을 사용한다고 되어 있다.
사용하는 사이트 목록
아이피 대역 219.251.142.0/24 를 사이버대피소용으로 사용하는 것으로 추정된다.
- 클리앙 (
219.251.142.13) - https://www.clien.net/
- 딴지일보 (
219.251.142.92) - https://ddanzi.com/
- 더치트 (
219.251.142.232) - https://thecheat.co.kr/
- 국민의힘 홈페이지 (
219.251.142.66) - https://www.peoplepowerparty.kr/
- 킬러호스팅 (
219.251.142.16) - https://www.mcgo.co.kr/
- 엠피온 (
219.251.142.84) - https://mpeon.com/
태그
서비스
반응과 댓글 시스템은 Giscus에 의해 호스팅되며, 모든 대화는 GitHub에 저장됩니다.