[12/5] 테라비트 시대의 DDoS 방어: 공격 동향, 융단 폭격

□ 글로벌 DDoS 공격 동향

  • 2018년 글로벌 분산 서비스 거부(DDoS) 공격의 평균규모는 전년대비 24%증가하였으며 공격 최고치도 급증
  • 2018년 2월 말 GitHub*에서 멤캐시드(memcached)** 취약점을 이용한 DDoS 공격(1.7Tbps)이 발생

* GitHub : 오픈 소스 관리를 위한 분산 버전 관리 시스템을 호스팅해주는 웹 서비스

** memcached : 메모리를 사용해 캐시서비스를 제공해주는 데몬으로 기업에서 대역폭을 효과적으로 사용하기 위해 구축

  • 300Gbps 이상 공격은 2018년 상반기 47건으로 전년대비(7건) 571% 증가하였으나, DDoS 공격 건수는 13% 감소
  • 저렴한 가격으로 DDaaS(DDoS-as-a-Service)를 제공하는 부터(booter)와 스트레서(stresser)* 서비스의 확산이 원인
    * booter/stresser : DDoS 공격을 대신 해주는 사람

□ 아시아 태평양 DDoS 공격 동향

  • 아 태지역 DDoS공격 평균규모는 전년대비 23%증가하였으며, 공격 건수는 4% 감소
  • 300Gbps 이상 공격은 2018년 상반기 35건으로 전년대비(5건) 600% 증가하였으며, 중국은 500Gbps 이상 공격이 17건 발생

□ 새로운 DDoS 공격 동향

  • 대다수의 DDoS 공격은 오래된 공격 벡터를 사용, 보안업체는 공격에 대한 DDoS 방어솔루션을 마련하여 공격을 완화
  • 그러나 공격자는 새로운 솔루션에 대한 취약점을 우회하고 새로운 공격을 시도하여 공격과 방어는 끝없는 군비 경쟁이 발생
  •  2018년은 booter와 stresser 서비스의 확산으로 인한 공격 벡터가 크게 증가
  • 인터넷 역사상 가장 큰 DDoS 공격(1.7Tbps)은 memcached 서버의 남용으로 발생

□ 융단 폭격(Carpet bombing)

  • 반사 및 범람 공격의 변형으로, 공격자는 특정 서브넷 및 CIDR*블록(예:a/20) 내의 모든 대상을 공격하며 네트워크 장치 및 내부 링크를 통해 과다트래픽을 발생시켜 네트워크를 중단시키는 공격
    * CIDR : IP 주소 할당 방법의 하나로, 기존 8비트 단위로 통신망부와 호스트부를 구획하지 않는 방법
  • 공격자가 서브넷 및 CIDR블록을 공격 중 다른 서브넷 및 CIDR 블록으로 공격을 이동하여 탐지 및 완화가 어려움
  • DNS, SSDP*, LDAP** 및 TCP SYN-ACK 유형 반사를 사용하여 탐지 된 공격규모는 10Gbps~600Gbps를 기록

* SSDP : 데이터 전처리 과정을 자동화해주는 프로토콜
** LDAP : TCP/IP 위에서 디렉터리 서비스를 조회하고 수정하는 응용 프로토콜

1) 융단 폭격 공격 탐지

  • 네트워크의 모든 IP주소를 공격하기 때문에 평소 정상적인 트래픽 용량 확인을 위해 정기적으로(주, 시간) 평균 용량을 측정해야 함

2) 융단 폭격 공격 완화

  • 원치 않는 소스 포트의 트래픽은 인프라 접근 목록(iACL) 또는 Flowspec*을 사용하여 삭제하거나 속도를 제한
    * Flowspec : BGP에서 패킷 레벨 필터 규칙을 전달 시 사용하는 메커니즘
  • 공격을 생성하는 소스 IP주소는 iACL, Flowspec 및 S/RTBH을 사용하여 차단
  • DNS 응답의 경우 대규모 EDNS(DNS 확장 메커니즘) 응답을 차단하지 않도록 자체 DNS 재귀 인프라 면제를 실시하며, 분열된 공격 트래픽을 처리할 때 공격 볼륨의 50%까지 제거 가능
  • 공격 트래픽은 지능형 DDoS 완화 시스템(IDMSes)으로 전환될 수 있으나 전체 네트워크 블록에 분산될 때 과다하지 않도록 주의

□ 시사점

  • 한국인터넷진흥원은 각국의 침해사고대응팀과 업무협약을 체결하고 DDoS탐지 및 대응체계 등을 공유하여 새로운 사이버 공격에 대한 공동대응 및 방안을 마련해야 함
  • 또한, 모의침투 등 실전 기반 훈련을 지속적으로 추진하여 기업의 주요시설 및 시스템 등에 대한 취약점을 조치하고 대응절차를 개선해야 함

출처 : APNIC