요약
- DoS는 단일 소스에서 공격이 발생하는 시스템 대 시스템 공격입니다. DDoS는 여러 시스템이 관련되므로 공격이 여러 소스에서 발생합니다.
- DoS에서는 공격자가 과도한 트래픽으로 대상을 범람시키고 취약점을 악용해 서비스 중단을 유발합니다. DDoS에서는 공격자가 더 넓은 규모로 공격을 분산하고 서로 다른 지리적 위치에서 이를 실행합니다.
- DDoS 공격은 DoS보다 훨씬 더 강력하며 훨씬 더 복잡합니다. 모든 DDoS는 DoS이지만, 모든 DoS 공격이 DDoS인 것은 아닙니다. DDoS 공격자는 botnet을 사용해 DoS 공격의 위력을 증폭합니다.
- 단순한 DoS 공격은 DNS 서버만 마비시킬 수 있지만 DDoS는 brute force를 사용하므로 단순한 암호화나 입력 검증만으로는 방어할 수 없습니다.
최근 Ubuntu는 DDoS 공격 이후 장애를 겪었습니다. 외부에 공개된 인프라가 완전히 다운되었습니다. Bluesky 역시 서버 장애의 원인으로 DDoS 공격을 지목했습니다. 그리고 이는 대기업만의 문제가 아닙니다. 스타트업과 중소기업조차 전 세계적으로 비즈니스 연속성을 보장하기 위해 고군분투하고 있습니다. 평판이 손상되고 서비스가 오프라인 상태가 되면 고객은 신뢰를 잃고 등을 돌립니다. 이러한 위협을 완화하는 데에는 올바른 방법과 잘못된 방법이 있습니다. DDoS는 DoS 공격과 유사한 점도 많아 이 분야에 처음 접하는 사람들은 두 방법론을 혼동할 수 있습니다.
DoS와 DDoS 공격의 차이를 모른다면 이 가이드가 도움이 될 것입니다. 법적 복잡성과 그 밖에 알아야 할 모든 내용도 함께 다룹니다.
DoS 공격이란 무엇인가요?
서비스 거부(DoS) 공격은 사용자가 머신, 네트워크 또는 웹사이트를 사용할 수 없도록 만들기 위해 수행되는 사이버 공격입니다. 과도한 트래픽과 요청으로 시스템을 압도해 사이트와 시스템의 속도를 저하시키고, 충돌을 일으키며, 응답하지 못하게 만듭니다.
다음은 반드시 알아두어야 할 주요 DoS 공격 유형입니다.
DoS 공격 유형
DoS 공격은 항상 단일 시스템에서 시작됩니다. 그 단일 소스가 악성 트래픽으로 대상을 포화시키거나 프로토콜 약점을 악용해 서비스가 응답을 멈출 때까지 공격합니다. 공격자는 이를 위해 몇 가지 기법을 사용합니다. 가장 자주 보게 되는 것은 다음 네 가지입니다.
Teardrop 공격
Teardrop 공격은 IP 패킷을 조각낸 뒤 대상이 재조립할 수 없도록 겹치거나 비정상적으로 형성된 조각을 전송합니다. 구형 운영 체제는 이러한 패킷을 만나면 충돌하거나 재부팅됩니다. 최신 시스템은 일반적으로 이를 거부하지만, 네트워크 내부의 보호되지 않은 레거시 서버는 여전히 매력적인 표적입니다.
플러딩 공격
플러딩 공격은 대량의 트래픽을 서버, 네트워크 링크 또는 애플리케이션으로 보냅니다. 공격자는 ICMP echo 요청(ping flood), UDP 패킷 또는 HTTP 요청을 사용할 수 있습니다. 이 트래픽은 사용 가능한 모든 대역폭 또는 서버 리소스를 소모합니다. 단일 머신이 지속적으로 HTTP GET 요청을 보내는 것만으로도 설정이 부실한 웹 서버를 몇 분 안에 고갈시킬 수 있습니다.
IP 단편화 공격
이러한 공격은 네트워크 장비가 단편화된 IP 패킷을 재조립하는 방식을 악용합니다. 공격자는 오프셋이 겹치거나 불완전한 시퀀스를 포함한 조각을 전송합니다. 조각을 재조립하기 위해 이를 버퍼링하는 라우터와 방화벽은 메모리가 고갈되어 정상 트래픽을 차단하게 됩니다. 단편화 공격은 검사 엔진이 부분 데이터만 보기 때문에 패킷 검사를 우회하는 경우가 많습니다.
SYN 플러드
SYN 플러드는 TCP 3-way handshake를 악용합니다. 공격자는 종종 스푸핑된 소스 IP 주소를 사용해 SYN 패킷 스트림을 전송합니다. 대상은 각 반개방 연결에 대해 리소스를 할당하고 도착하지 않는 ACK를 기다립니다. 연결 테이블이 가득 차면 서버는 모든 새 요청을 거부합니다. SYN 플러드는 여전히 가장 일반적인 단일 소스 DoS 기법 중 하나입니다. 공격자는 또한 ping of death와 애플리케이션 계층 DoS에도 의존하는데, 이는 단일 엔드포인트에서 웹 애플리케이션의 리소스 집약적 기능을 오용해 가용성을 떨어뜨리는 방식입니다.
DDoS 공격이란 무엇인가요?
분산 서비스 거부(DDoS) 공격은 DoS와 동일한 목표를 수백 또는 수천 개의 손상된 시스템으로 확장합니다. 공격자는 디바이스를 malware로 감염시켜 트래픽 에이전트로 사용함으로써 botnet을 구축합니다. 또한 잘못 구성된 DNS, NTP 또는 Memcached 서버를 통해 요청을 반사시켜 트래픽을 증폭합니다. 반사기와 증폭기는 작은 요청으로도 피해자를 향한 훨씬 더 큰 응답을 생성하게 합니다.
다중 소스 트래픽은 탐지와 완화를 더 어렵게 만듭니다. 트래픽이 단일 IP에서 네트워크로 들어오면 차단하면 됩니다. 하지만 전 세계 50,000개의 주거용 IP와 스푸핑된 주소에서 들어오면 시그니처 기반 필터와 단순한 속도 제한은 실패합니다.
DDoS 공격 유형
DDoS 공격은 인프라의 서로 다른 계층을 표적으로 하며 확장성이 매우 높습니다. 아래는 알아두어야 할 다양한 DDoS 공격 유형입니다:
애플리케이션 계층 DDoS 공격
애플리케이션 계층 공격은 Layer 7을 표적으로 합니다. 공격자는 느린 HTTP POST 요청, 리소스를 많이 사용하는 API 호출 또는 정상 사용자 행동을 모방하는 HTTP flood를 전송합니다. 요청이 유효해 보이기 때문에 이러한 공격은 단순한 볼류메트릭 임계값을 우회합니다. 로그인 시도를 처리하는 단일 서버는 공격받는 것이 아니라 단지 바쁜 것처럼 보일 수 있습니다.
볼류메트릭 공격
볼류메트릭 공격은 사용 가능한 모든 대역폭을 소모하는 것을 목표로 합니다. 공격자는 botnet을 사용해 대량의 UDP 트래픽, ICMP flood 또는 증폭된 DNS 응답을 네트워크 에지로 밀어 넣습니다. 회선이 가득 차면 정상 패킷은 데이터 센터에 도달하기 전에 드롭됩니다. 이러한 공격의 트래픽 규모는 초당 기가비트 또는 테라비트 단위로 측정됩니다.
프로토콜 공격
프로토콜 공격은 Layer 3 및 4의 약점을 악용합니다. SYN flood, Smurf 공격, ping of death가 모두 여기에 해당합니다. 공격자는 서버 연결 테이블을 소모시키거나 상태 저장 방화벽과 로드 밸런서를 압도합니다. 프로토콜 공격은 네트워크 인프라를 표적으로 하기 때문에 업스트림 또는 전용 스크러빙 장비를 통해 필터링해야 합니다.
DDoS 대 DoS 공격: 실제 사례
실제 사고를 보면 DoS와 DDoS 공격의 차이를 알 수 있습니다. 아래에서 최근의 실제 DoS 및 DDoS 공격 사례를 살펴보겠습니다:
- 2026년 초 무렵, Aisuru-Kimwolf botnet에 의한 31.4 Tbps 공격이 공개적으로 알려졌습니다. 이 초대형 botnet은 100만~400만 대의 디바이스를 감염시켰습니다. 표적은 Android TV, 라우터, IoT 카메라였습니다. Cloudflare와 기타 주요 인프라 제공업체조차 초당 2억 500만 요청(rps)의 최고치를 기록했습니다.
- 2026년 1분기에는 Operation Sindoor와 중동 분쟁이 있었습니다. 지정학적 긴장이 국가 연계형 DDoS 공격 물결을 촉발했습니다. 단 72시간 동안 16개국 110개 기업이 149건이 넘는 hacktivist DDoS 공격을 받았습니다. 공격자는 금융 기관을 노리기 위해 carpet bombing 전략을 사용했습니다. 한 중동 금융 기관은 6일 동안 1조 2,500억 건이 넘는 요청을 받았고, 이 요청들은 모두 정상 트래픽처럼 보여 기존 필터를 우회했습니다.
- 요즘은 15분마다 저강도 DoS 공격이 발생합니다. 지난해에는 reconnaissance probing 위협으로 인해 DoS 공격이 4배 증가했습니다. 공격자는 단일 VPN 인스턴스를 사용해 SYN flood를 시작하고 특정 인증 및 로그인 엔드포인트를 표적으로 삼았습니다. 이들은 서버 리소스를 고갈시키고 인증 실패를 유발했으며 정상 사용자의 TLS handshake를 타임아웃시켰습니다. AI가 DDoS 또는 DoS 공격 시작에 사용되면 상황은 더 복잡해집니다. 이러한 DDoS 대 DoS 공격의 실제 사례는 가까운 미래에 조직이 맞이하게 될 상황의 빙산의 일각에 불과합니다(방어 및 완화 준비를 하지 않는다면).
DoS와 DDoS 공격의 주요 차이점
DDoS attack과 Dos attack의 패턴과 관점을 나란히 비교하면 네 가지 요소가 두드러집니다. 다음은 DoS와 DDoS 공격의 주요 차이점입니다:
소스 분산 및 트래픽 규모
DoS는 단 하나의 디바이스 또는 IP만 포함합니다. 반면 DDoS에서는 공격자가 bot, 증폭기, 반사기를 배치해 지리적으로 분산된 트래픽을 생성합니다. DoS의 트래픽 규모가 초당 기가비트 수준일 수 있는 반면, DDoS는 여러 테라비트에 이를 수 있습니다.
속도와 영향
DoS의 영향은 서비스가 얼마나 빨리 저하되는지 또는 공격이 취약점을 악용해 서비스를 즉시 중단시키는지에 따라 달라집니다. 그러나 DDoS는 시스템을 즉시 범람시키는 막대한 요청량에 따라 단 몇 분 만에 서비스를 중단시킬 수 있습니다. DDoS는 또한 ISP 네트워크에 부수적 피해를 일으켜 다른 고객에게도 영향을 미칩니다.
추적 가능성과 법적 대응
DoS 공격에는 단일 IP가 관련되며, 이는 스푸핑될 수 있지만 법 집행 기관이 추적할 수 있습니다. DDoS 공격에서는 command-and-control 서버를 식별하기가 어렵습니다. DDoS 공격의 IP를 찾고 그 배후의 개인까지 추적하는 일은 여러 관할권에 걸친 조사와 많은 디바이스에 대한 포렌식 분석이 필요하기 때문에 어렵습니다. 따라서 이 과정은 DoS 공격의 경우보다 더 많은 시간이 걸리고 더 복잡합니다.
완화 도구 및 요구 사항
DoS 방지는 공격자의 IP를 차단하거나 드롭하거나 애플리케이션의 버그를 수정하는 방식으로 이루어집니다. DDoS 방지를 위해서는 스크러빙 센터 구축, 클라우드 기반 트래픽 필터링 도구 사용, WAF 사용, ISP와의 협력이 필요합니다. 또한 스크러빙 스크러빙 네트워크를 통해 트래픽을 재라우팅하고 정상 트래픽만 전달하는 것도 포함됩니다.
DoS vs DDoS: 주요 차이점
DoS와 DDoS를 빠르게 개괄적으로 비교하려면 이 Dos vs DDoS 공격 비교 표를 확인하세요. 이 표는 DDoS attack과 DoS attack 요소를 한눈에 보여줍니다:
| 요소 | DoS 공격 | DDoS 공격 | 예시 시나리오 |
| 소스 | 단일 머신 또는 IP | 수천 개 규모의 botnet 또는 반사 증폭 | Mirai botnet 대 단일 Slowloris 스크립트 |
| 트래픽 규모 | 낮음~보통(Mbps) | 높음(Gbps~Tbps) | 1.35 Tbps에 도달한 Memcached 증폭 |
| 공격 기법 | SYN flood, ping of death, 앱 계층 고갈 | SYN flood, UDP flood, HTTP flood, DNS 증폭 | 하나의 IP에서 반복되는 로그인 요청 대 다중 벡터 볼류메트릭 공격 |
| 탐지 난이도 | 더 쉬움; 시끄러운 단일 IP가 눈에 띔 | 더 어려움; 분산된 IP가 정상 트래픽 패턴과 유사함 | 하나의 IP에 대한 속도 제한 대 지역 전반에 걸친 행동 분석 튜닝 |
| 완화 | IP 차단, 취약점 패치, 속도 제한 | 스크러빙 센터, anycast 분산, 업스트림 ISP 필터링 사용 | 단일 IP에 대한 null-routing 대 모든 트래픽을 클라우드 스크러빙 서비스로 리디렉션 |
| 추적 가능성 | 대개 개인까지 추적 가능 | botnet과 스푸핑된 주소로 인해 은폐됨 | 하나의 ISP에 대한 법 집행 기관의 소환장 대 다국가 조사 |
| 다운타임 가능성 | 완화되지 않으면 수분~수시간 | 방어가 충분하지 않으면 수시간~수일 | 단일 서버 충돌 대 글로벌 서비스 장애 |
DoS와 DDoS 공격의 영향
어떤 다운타임이든 수익 손실을 의미합니다. 전자상거래 웹사이트가 1시간 동안 다운되면 수십만 달러의 매출 손실이 발생할 수 있으며, SLA 위반으로 인해 의무 크레딧이 발생할 수도 있습니다. 기업이 실시간 디지털 서비스에 더 많이 의존함에 따라 이러한 수치는 올해부터 더 증가할 것입니다. 다운타임은 대중의 인식에도 영향을 미치며, 고객 데이터가 간접적으로라도 피해를 입으면 법적 문제를 초래할 수 있습니다.
재정적 결과 외에도 DoS 또는 DDoS 공격은 다른 모든 서비스에 영향을 미칩니다. 대규모 볼류메트릭 DDoS 공격은 기본 인터넷 링크를 다운시킬 뿐 아니라 VPN 또는 클라우드 API 서비스를 통한 사이트 연결도 차단해 이를 무용지물로 만듭니다. 직원은 내부 애플리케이션에 접근할 수 없고 자동화된 모니터링 시스템도 침묵하게 됩니다. DDoS 공격은 실제 침입을 숨기기 위한 연막처럼 작동합니다.
이들은 주의를 분산시키고 네트워크 복구를 어렵게 만듭니다. 해커는 더 깊이 침투하고 더 높은 수준의 데이터 침해를 수행하기 위해 혼란을 조성합니다. 결국 malware를 설치하고 다중 지역 장애를 유발할 수도 있습니다. 이 모든 것은 장기적인 고객 신뢰 하락으로 이어집니다. 정부 포털, 은행 서비스 및 앱과 같은 모든 기업 및 핵심 인프라와 서비스가 영향을 받습니다.
2026년에 DoS 및 DDoS 공격을 예방하고 탐지하기 위한 모범 사례
효과적인 DDoS 대 DoS 완화는 네트워크 아키텍처와 지속적인 모니터링에서 시작됩니다. 단일 소스 악용과 분산 플러드를 모두 포착할 수 있는 통제가 필요합니다. 올해 DoS와 DDoS 공격을 모두 예방하고 탐지하기 위해 따라야 할 모범 사례 목록은 다음과 같습니다:
- 라우터와 방화벽에 네트워크 수준 속도 제한을 배포해 단일 소스의 연결 수를 제한합니다.
- 트래픽이 하나의 원본 서버에 집중되지 않고 여러 지리적 지점에 흡수되도록 anycast 네트워크 분산을 사용합니다.
- 트래픽이 네트워크 에지에 도달하기 전에 처리하고 필터링할 수 있는 클라우드 스크러빙 서비스를 통합합니다.
- 악성 Layer 7 요청을 필터링하기 위해 중요 앱 앞단에 웹 애플리케이션 방화벽(WAF)을 배치합니다.
- 원본 서버에 부하가 걸릴 때 급증 트래픽을 흡수하고 캐시된 콘텐츠를 제공하도록 CDN을 구성합니다.
- 기준 트래픽 패턴을 설정하고 요청의 급격한 증가, 비정상적인 지리적 분포 또는 프로토콜 불일치를 표시하는 이상 탐지를 사용합니다.
- 중복된 anycast 리졸버로 DNS 인프라를 강화하고 응답 속도 제한을 활성화합니다.
- DoS와 다중 벡터 DDoS 시나리오를 모두 시뮬레이션하는 정기적인 스트레스 테스트와 레드팀 훈련을 수행합니다.
- 언제 스크러빙 서비스로 페일오버할지, ISP와 어떻게 소통할지를 정의하는 플레이북을 구축합니다.
- 활성 DDoS 이벤트 중 기회주의적 침입 징후가 있는지 엔드포인트 및 워크로드 텔레메트리를 모니터링합니다. 공격자는 종종 소음을 은폐 수단으로 사용하기 때문입니다.
진행 중인 DoS 대 DDoS 공격에 대응하는 방법
진행 중인 DoS 대 DDoS 공격에 어떻게 대응해야 할지 확신이 없다면 다음 팁이 도움이 됩니다. 다음을 수행하세요:
- 인시던트 대응 런북을 활성화하고 즉시 심각도 수준을 선언합니다.
- ISP 또는 클라우드 제공업체에 연락하고 트래픽 샘플을 공유해 업스트림 필터링을 시작할 수 있도록 합니다.
- 구축되어 있다면 인바운드 트래픽을 스크러빙 센터 또는 DDoS 완화 서비스로 우회시킵니다.
- 단일 소스 DoS의 경우 네트워크 에지에서 문제를 일으키는 IP를 드롭하거나 블랙홀 처리합니다.
- 로그, 플로우 데이터, 패킷 캡처를 보존합니다. 이는 사고 후 포렌식과 법 집행 기관 이관을 지원합니다.
- 내부 이해관계자 - SOC, 네트워킹, 애플리케이션 소유자, 커뮤니케이션 담당자 - 에게 알립니다. 그래야 상태 업데이트를 준비하거나 다음 조치를 결정할 수 있습니다.
- 고객 대상 서비스가 영향을 받는 경우 예상 복구 시간과 함께 짧고 사실 기반의 상태 페이지 업데이트를 게시합니다.
- 공격 벡터의 변화를 주시하면서 WAF 규칙 또는 ACL로 명백한 공격 시그니처를 차단합니다.
- 공격 후에는 증거 체인을 수집하고 법 집행 기관 또는 국가 CERT에 신고할지 결정합니다.
- 48시간 이내에 사고 후 검토를 수행합니다. 관찰한 내용을 바탕으로 런북을 업데이트하고 속도 제한을 강화하며 경보 임계값을 조정합니다.
SentinelOne은 DoS 및 DDoS 복원력을 어떻게 향상하나요?
SentinelOne의 Singularity Platform은 Autonomous Security Intelligence (ASI)로 구동됩니다. 이는 플랫폼의 기반에 내장된 인텔리전스 패브릭으로, 악성 행위를 식별하고 중요한 작업을 자동화하며 머신 속도로 위협에 대응합니다. 엔드포인트, 클라우드, 아이덴티티 및 AI 영역 전반에서 ASI는 보안 팀에 DoS 및 DDoS 위협이 확대되기 전에 탐지하고 차단할 수 있는 도구를 제공합니다. Singularity™ Endpoint에는 네트워크 트래픽을 자율적으로 필터링하고 포트 스캔과 같은 DoS 공격 패턴을 사전에 차단하는 내장 방화벽과 침입 방지 시스템(IPS)이 포함되어 있습니다.
Singularity™ XDR Platform은 AI와 머신 러닝을 사용해 머신 속도로 비정상적인 행동 패턴을 탐지합니다. 엔드포인트의 텔레메트리, 아이덴티티 데이터, 클라우드 가시성을 상호 연관 분석해 어떤 디바이스가 언제 botnet 릴레이 노드처럼 동작하는지 식별합니다.
공격자가 AI 도구를 사용해 DDoS 또는 DoS 공격을 시작하고 있다면 Prompt Security가 이를 걸러내고 승인되지 않은 agentic AI 작업 수행을 방지할 수 있습니다.
Singularity™ Network Discovery (formerly Ranger)는 네트워크 트래픽을 모니터링하고 분산 공격에 가담하는 승인되지 않았거나 rogue 디바이스를 식별할 수 있습니다. SentinelOne은 또한 Imperva와 같은 서드파티 파트너와 통합되어 대규모 볼류메트릭 공격에 대한 특화된 DDoS 스크러빙 및 API 보호를 제공합니다.
더 심층적인 조사를 위해 Purple AI는 분석가가 전체 보안 스택 전반에 걸쳐 자연어 쿼리를 수행할 수 있게 해줍니다. 이를 통해 복잡한 쿼리 언어를 알 필요 없이 공격 패턴, 행동 신호, 대응 워크플로를 드러낼 수 있습니다. IDC 연구에 따르면 Purple AI는 조직이 보안 위협을 63% 더 빠르게 식별하고, 대응 시간을 최대 55% 줄이며, 3년 동안 최대 338%의 ROI를 제공하도록 돕습니다(IDC, 2025년 7월). 또한 내장된 위협 헌팅 기능을 통해 팀에 엔터프라이즈 보안 스택 전반에서 가장 폭넓은 가시성을 제공합니다.
AI 기반 엔드포인트 탐지 및 대응.
결론
DoS 공격은 단일 시스템에서 시작되는 반면 DDoS 공격은 수천 개의 손상된 디바이스를 사용하므로 훨씬 더 강력하고 추적하기도 더 어렵습니다. 이를 차단하려면 공격 자체보다 더 빠르게 작동하는 방어 체계가 필요합니다. 즉, 도구 간 공백 없이 네트워크, 엔드포인트, 클라우드, 아이덴티티 전반을 포괄하는 자율 보호가 필요합니다. SentinelOne은 AI 네이티브 탐지, 머신 속도 대응, 통합 가시성을 단일 플랫폼에 결합해 공격이 지속적인 피해를 일으키기 전에 팀이 대응할 수 있도록 지원합니다. SentinelOne이 DoS 및 DDoS 위협으로부터 어떻게 보호하는지 확인하려면 라이브 데모를 예약하세요.
FAQ
DDoS 공격은 DoS보다 더 위험합니다. DoS는 하나의 소스를 사용하므로 IP를 식별한 후 차단할 수 있습니다. DDoS는 손상된 많은 디바이스에서 네트워크로 트래픽을 범람시켜 훨씬 더 막기 어렵습니다. 트래픽은 블랙리스트에 올릴 단일 소스 없이 서버를 압도할 수 있습니다. 보호 장치가 없으면 몇 시간 동안 다운타임이 발생할 수 있습니다.
항상 그런 것은 아니지만, 거의 모든 심각한 DDoS 공격은 botnet을 사용합니다. botnet은 공격자가 원격으로 제어하는 감염된 디바이스의 네트워크입니다. 이들은 소유자가 모르는 사이 수천 개의 endpoint에서 대규모 트래픽 범람을 시작할 수 있습니다. 기술적으로는 몇 대의 서버에서 수동으로 DDoS를 시작할 수도 있지만, 이는 일반적이지 않습니다. 실제로 사용자를 오프라인 상태로 만들 정도의 지속적인 공격에는 botnet이 사용되는 도구입니다.
예, 중소기업은 흔한 표적입니다. 공격자는 소규모 기업이 대기업 수준의 방어 체계를 갖추지 못한 경우가 많다는 점을 알고 있습니다. 몸값 요구의 일환으로 DDoS 공격을 받을 수도 있고, 단순히 운영을 방해하기 위해 공격받을 수도 있습니다. 웹사이트가 다운되면 금전과 고객을 잃게 됩니다. 너무 작아서 눈에 띄지 않을 것이라고 생각하더라도, 좋은 보호 계획은 중요합니다.
ISP와 클라우드 제공업체는 악성 트래픽이 네트워크에 도달하기 전에 업스트림에서 이를 필터링할 수 있습니다. 이들은 더 큰 대역폭과 스크러빙 센터를 보유해 불필요한 트래픽을 흡수할 수 있습니다. 클라우드 DDoS 보호 서비스는 트래픽을 필터를 통해 우회시킵니다. 공격 중에는 ISP가 자체 인프라를 보호하기 위해 사용자의 IP를 블랙홀 처리할 수 있지만, 그러면 사용자는 오프라인 상태가 됩니다. 연결을 끊지 않고 트래픽을 스크러빙하는 서비스가 필요합니다.
Endpoint detection and response 도구는 DDoS 공격을 막도록 설계되지 않았습니다. 이 도구는 네트워크 수준의 범람이 아니라 노트북이나 서버 같은 디바이스의 위협을 감시합니다. DoS 또는 DDoS는 인터넷 회선을 포화시키며, 이는 EDR이 제어할 수 없습니다. 좋은 EDR은 트로이 목마가 시스템을 감염시키고 이를 이용해 botnet에 참여시키는 경우를 탐지할 수 있습니다. 하지만 공격 완화를 위해서는 네트워크 수준의 방어, 방화벽, 그리고 클라우드 스크러빙 서비스가 필요합니다.

