DDoS-2 (DRDoS공격과 DDoS 공격 추세)

DRDoS공격이란 무엇이며, DDoS 공격의 추세는 어떻게 되는가요?

최근 5년 전후로 유행하기 시작한 서비스 반사/증폭 공격이 있습니다. 이 공격은 좀비 PC나 IoT장비를 활용하지 않고 공공적인 목적으로 공개되어 있는 다양한 서버나 장비를 이용하는 공격으로 최근에 각광받고 있는 공격 유형입니다. 통칭해서 DRDoS(Distributed Reflection Denial of Service)이라고 불리는 공격으로 아래 <그림 1>와 같이 정상적으로는 자신의 실제 IP를 이용하여 공개된 서버에 질의를 하면 해당 서버들은 정상적인 응답을 질의한 대상으로 응답을 보내게 되는데 이때 공격자가 자신의 IP가 아닌 공격 대상 서버의 IP를 사용하여 응답 패킷이 공격 대상으로 전송되게 만듭니다.

공격자는 "ntpdc -n -c monlist 192.168.34.85"명령어를 서버로 보내면 NTP 서버에서 자신이 모니터링 중인 리스트의 상태 값을 공격 대상 서버로 응답하게 되는 명령어인데 응답 값이 최초에 질의한 명령어 대비 굉장히 많은 데이터를 가지고 있는 특징이 있습니다. 질의 요청에 대해 응답을 보내는 과정이 마치 공격자에게 와야 하는 트래픽을 공격 대상 서버로 반사하는 것 같이 동작하고, 명령어 한 줄을 보냈는데, 수백~수천 라인의 응답이 마치 증폭되어 전달된다고 해서 반사/증폭 공격이라고 합니다. 이 공격도 본질적으로는 용량 기반 공격과 동일한 공격 효과를 내고 있습니다.

< 그림 1 >  NTP 반사, 증폭 DDoS 공격의 개념도

이런 유형의 공격이 유행하는 이유는 위에서 예를 든 NTP 뿐만 아니라 다양한 서비스들이 반사/증폭 공격에 활용 가능하기 때문입니다. 아래 <그림 2>과 같이 DNS, SSDP, Chargen 등 다양한 프로토콜들이 공격에 활용되고 있으며, 공격명 옆의 수치에 있는 2017, 2018년 분기 별 공격 탐지 횟수와 공격 크기와 같이 수백Gbps단위의 공격이 탐지된 것을 확인할 수 있습니다. 아무래도 DNS 서비스가 광범위하게 사용 중이라서 공격 발생수와 공격 크기에서 수위를 차지하고 있는 것을 확인할 수 있습니다.

만약에 좀비 단말 등을 이용하여 100 Gbps의 공격 트래픽을 발생시키기 위해서는 수백~수천 개의 좀비 단말이 필요하겠지만 공개 서버를 이용하면 훨씬 적은 자원으로 대용량의 공격이 가능한 장점이 있기 때문에 최근에 빈번하게 발생되고 있는 추세입니다.

< 그림 2 >  DRDoS(반사/증폭 DDoS)의 종류별 공격 횟수 및 크기 (자료 출처 : 아버네트웍스)

DRDoS가 트렌드를 선도하는 핫한 공격 방식이 되면서, 공격자들은 기존에 사용 중인 프로토콜을 분석하여 공격에 활용할 수 있는 대상을 계속 찾아내고 있습니다. 아래 <그림 3>과 같이 원소주기율표 같이 표시되어 있는 표는 2018, 2019년도에 탐지된 새로운 유형의 DRDoS를 명칭과 탐지 연도, 공격에 악용되는 서버의 개수를 기준으로 산출한 위험도 그리고 증폭 지수를 표시하여 나열하였습니다. "증폭 지수"라는 것은 공격을 유발하기 위해 전송한 데이터양에 대비하여 응답으로 발생되는 데이터양의 비율을 표시한 값입니다.

예를 들면 증폭 지수가 100:1이라고 하면 공격자가 1 Mbyte를 서버로 전송하면 서버는 100 Mbyte의 응답 패킷을 공격 대상 서버로 전송하는 것을 의미합니다. 즉 증폭 지수가 높을수록 효율적인 공격이 가능한 것을 의미합니다. 이런 추세로 유추해 보면 2021년 이후에도 계속해서 반사/증폭 공격에 악용되는 프로토콜이 추가될 것으로 예상할 수 있습니다.

< 그림 3 >  DRDoS 유형별 증폭 지수 및 공격 위험도 (자료 출처 : 아버네트웍스)

앞에서 설명한 다양한 DDoS 공격 유형을 아래 <그림 4>와 같이 정리하였습니다. 용량 기반 공격은 다량의 덩치가 큰 패킷을 보내기 때문에 공격을 측정하는 단위가 BPS가 됩니다. 즉 특정한 출발지에서 특정한 목적지로 보내지는 트래픽의 양(Bit)을 초단위로 측정하여 일정 임계치를 넘어서면 공격으로 판단하기 위해 BPS단위가 활용되는 것으로 DRDoS도 이 공격 유형에 포함됩니다. 자원 소모 공격의 경우 패킷의 크기가 아니고 패킷의 개수가 중요합니다.

즉 크기가 작은 패킷이라도 초당 얼마나 많은 패킷을 보냈는지 측정하여 공격 여부 판단에 사용하기 때문에 PPS라는 단위가 사용됩니다. 마지막으로 애플리케이션 공격의 경우 OSI 7 계층에서 이루어지는 공격이기 때문에 초당 얼마나 많은 요청(request)이 전달되었는지가 공격 판단의 기준으로 사용되기 때문에 RPS라는 단위가 사용되는 것이다. 일단 공격이 들어오면 처음에는 BPS와 PPS 단위로 동시에 측정이 되기 때문에 각 공격의 특성에 따라 어떤 단위를 기준으로 분석할 건지 숙지해야 해당 트래픽이 공격인지 정상적인 트래픽인지 확인이 가능합니다.

< 그림 4 >  DDoS 공격의 유형 (자료 출처 : 아버네트웍스)

그럼 위에서 설명한 다양한 DDoS 공격들이 어느 정도 빈번하게 발생되고 공격의 크기(강도)는 어떻게 되는지 통계정보를 알아보도록 하겠습니다. 아래 <그림 5>와 같이 공격의 60%는 볼륨 기반 공격이 차지하고 있습니다. 최근 서비스 반사 증폭 공격이 유행하면서 볼륨 기반 공격이 압도적인 탐지 횟수를 자랑하고 있습니다. 공격의 사이즈 즉 강도는 500 Mbps가 70% 정도로 탐지되고 있고, 1 Gbps 이상의 크기도 20% 정도를 차지 하나 이 비율은 증가되고 있는 추세입니다.

이 통계자료는 아버네트웍스라는 벤더에서 전 세계에 설치된 장비에서 탐지된 공격을 기반으로 작성한 자료이므로 실제 공격 추이와는 다를 수 있으나, 전 세계 ISP와 대형 고객에 주로 설치되어 동작중인 장비라서 대략적인 공격 트렌드와 추이 변화에는 참고할 수 있는 자료라 생각됩니다.

아래 <그림 6>은 장비가 설치된 지리적인 정보를 기반으로 실시간으로 탐지되는 DDoS 공격에 대한 현황을 확인할 수 있는 그림입니다. 그림에서 노란색은 공격이 출발하는 곳이고 주황색은 공격 목적지인데, 그림을 캡처한 시간에는 미국과 남미, 중동지역이 공격 목적지가 되는 것이 확인되고, 대한민국의 경우 국내에서 이루어지는 DDoS 공격이 소규모 탐지되는 것을 확인할 수 있습니다.

< 그림 5 >  최근 DDoS 공격의 종류와 공격 크기 통계- 2018년 기준 (출처: 아버네트웍스)

< 그림 6 >  글로벌 실시간 DDoS 공격 현황 (출처 : 아버네트웍스)