피드로 돌아가기
Cloudflare BlogInfrastructure
원문 읽기
500 Tbps 용량 확보 및 eBPF 기반 무인 DDoS 방어 체계 구축
500 Tbps of capacity: 16 years of scaling our global network
AI 요약
Context
글로벌 트래픽 증가와 거대 규모 DDoS 공격으로 인한 기존 중앙 집중형 Scrubbing Center의 한계 직면. 모든 서버가 자체적으로 위협을 식별하고 차단하는 분산형 네트워크 보안 아키텍처 필요성 증대.
Technical Solution
- XDP 및 eBPF 기반의 l4drop 프로그램 체인을 NIC 단계에 배치하여 커널 네트워크 스택 진입 전 패킷 드롭
- 모든 서버에서 실행되는 dosd 데몬을 통한 트래픽 샘플링 및 Colo 내 실시간 Heavy Hitter 테이블 공유
- 분산 KV 스토어인 Quicksilver를 통한 로컬 탐지 룰의 전 세계 데이터 센터 실시간 전파 구조 설계
- Unimog L4 Load Balancer 전단에 l4drop을 배치하여 애플리케이션 CPU 자원 소모 없는 Line Rate 차단 구현
- TLS Fingerprinting 및 행동 분석 기반의 AI Crawler와 공격 트래픽 구분 로직 적용
실천 포인트
1. 대규모 트래픽 차단 시 OS 커널 스택 이전 단계(XDP/eBPF)에서 처리 가능한지 검토
2. 중앙 집중식 분석 대신 엣지 노드 간 상태 공유를 통한 분산 의사결정 구조 설계
3. User-Agent 기반 필터링의 한계를 극복하기 위한 TLS Fingerprint 등 다각도 식별 지표 도입