Cloudflare가 커스텀 eBPF 프로그램을 통해 UDP 기반 프로토콜의 DDoS 방어를 고객이 직접 정의할 수 있는 Programmable Flow Protection을 베타 출시했다

Context

기존 Cloudflare DDoS 방어 시스템은 TCP, DNS, NTP 등 널리 알려진 프로토콜의 특성을 기반으로 공격을 탐지하고 완화한다. 그러나 커스텀 또는 독점 UDP 프로토콜에 대해서는 프로토콜 지식이 없어 traffic을 통과시킬지 폐기할지 지능형 결정을 내릴 수 없다. 이로 인해 전체 IP와 포트 조합을 일괄 차단하거나 속도 제한하는 등 부득이한 대응만 가능했다.

Technical Solution

• Magic Transit Enterprise 고객 → 자체 eBPF 프로그램을 작성하여 "유효 traffic"과 "유효하지 않은 traffic"을 정의하고 처리 방식(통과, 폐기, 챌린지)을 지정한다.
• 고객 → 작성된 eBPF 프로그램을 Cloudflare 플랫폼에 업로드하면 전 세계 네트워크 전체에서 모든 packet에 대해 실행된다.
• 프로그램은 userspace에서 실행되어 kernel space와 격리되며 안전성을 확보한다.
• 기존 Cloudflare DDoS 완화 시스템 이후 순차 실행되어 표준 보안 보호 기능을 유지한다.
• packet에 암호학 챌린지를 포함하여 응답하지 않는 source를 차단함으로써 상태적으로 client의 합법성을 검증한다.

Impact

네트워크 전체에서 packet 단위의 커스텀 방어 로직 동시 적용 가능

Key Takeaway

eBPF 기반 프로그래밍 가능한 packet 처리 기능을 네트워크 에지에서 실행함으로써 프로토콜을 이해하지 못하는 상황에서도 application 수준에서 traffic의 유효성을 검증할 수 있다