최근의 DDoS 공격동향을 설명한 보고서를 간추려 보았습니다.
2021년 2분기 기준으로 최신 DDOS 공격 동향에 대해 자료를 바탕으로 작성된 보고서에서 참고할 만한 내용을 발취하여 정리하였습니다. 내용은 “NETSCOUT Threat Intelligence Report- Issue 8: Findings from 2nd Half 2021”를 참고하였습니다.
첫 번째로 글로벌 DDoS 공격 동향에 대한 내용입니다.
아래 <그림 1>은 1년 동안 전 세계에 설치된 Netscout Arbor 장비에서 탐지한 DDoS 공격 횟수를 합산한 양입니다. 작년에 비해 14% 줄어들었습니다.
아래 <그림 2>는 단일 DDoS 공격 중 가장 많은 양의 트래픽으로 수행된 공격은 2021년 11월 6일 에 체코에서 DNS, ICMP, TCP ACK, TCP RST, TCP SYN 등 복합적인 프로토콜을 통해 17분 정도 수행된 공격으로 확인되었습니다.
아래 <그림 3>은 단일 DDoS 공격 중 초당 패킷 수량기준으로 가장 많은 공격으로 2021년 12월 7일 러시아에서 CLDAP, TCP SYN/ACK 증폭 이외 ICMP, TCP ACK, TCP RST, TCP SYN트래픽을 섞어서 1시간 44분 동안 이루어진 공격으로 확인되었습니다.
두 번째로는 “DDoS-for-Hire”라는 방식의 공격입니다. 이 방식은 공격자가 직접 공격 시스템을 구축해서 공격하는 것이 아니라, 이런 공격 인프라를 이미 구축한 사람이 이런 공격을 시간 기준으로 사용료를 받고 공격 인프라를 빌려주는 방식의 공격을 말합니다.
아래 <그림 4>와 같이 사전에 공격 인프라를 갖춰 놓고, 공격의 강도, 동시 공격 가능 개수, 공격 가능 기간을 선택하면 사용금액이 표시되는 것을 확인할 수 있습니다. 이런 거래는 추적을 피하기 위해서 카드결제 대신 비트코인을 통해 결재를 주로 이용한다고 합니다. 이러한 공격 방식은 사적 이익을 위해 특정 회사, 특정 기관을 목적으로 이루어지는 공격으로 단돈 몇십만 원으로 공격 대상을 선택하고 버튼을 클릭하는 것으로 대규모의 공격을 수행할 수 있는 아주 간편한 방식입니다.
세 번째는 HTTPS(TCP443) 기반 공격의 증가입니다. 최근 대부분의 서비스 유형이 웹 기반으로 이동하면서, 보안을 강화하기 위해 HTTP 기반 서비스를 HTTPS를 기본으로 제공하는 서비스가 증가하면서 이런 서비스를 대상으로 하는 공격을 하기 위해 TCP443 기반의 L7 공격이 증가하는 것으로 관찰됩니다. 아래 <그림 5,6>과 같이 공격의 크기와 속도에서 2020년에 비해 2021년에는 같은 기간을 기준으로 특정 월에는 2배 이상 공격이 증가한 것을 확인할 수 있습니다.
네 번째는 그동안 유행했던 서비스 증폭 공격이 다소 감소하고 대신 전통적인 공격 방식이 다시 유행하고 있습니다. 아래 <그림 7>과 같이 DNS, NTP, STUN 기반 증폭 공격은 순위가 밀려났고, TCP ACK, TCP SYN, TCP RST, ICMP 등의 전통적인 공격이 상위를 차지하였습니다. 서비스 증폭 공격의 경우 기본적으로 공격자의 IP를 피해자의 IP로 변환(IP Spoofing)해서 이루어지는 공격으로 공격자 쪽의 ISP(인터넷 서비스 제공업체)에서 IP변경을 탐지하고 차단하는 서비스를 많이 채택하면서 공격의 강도가 낮아지고 있습니다. 전통적인 공격 방식은 공격 측의 IP를 변경 없이 그래도 사용하므로 IP변경 차단 서비스로 공격을 차단하기 힘들기 때문에 다시 공격 방식으로 선호되고 있는 추세로 판단됩니다.
다섯 번째로 대륙별 공격 추이 분석 내용입니다. 아래 <그림 8 >의 NAMER은 북미, LATAM은 남미, EMEA는 유럽, 아프리카, 러시아를 말하며, APAC은 중국, 인도, 한국, 일본, 동남아시아, 호주를 말합니다. 그림에서 보시는 것과 같이 대략적인 공격 방식은 대륙에 관계없이 비슷한 추세를 나타내고 있습니다.
마지막으로, DDoS 공격에 이용되는 대표적인 봇넷의 특성 및 내역을 소개하고 있습니다.
가정 및 기업에 광범위하게 보급된 대용량 회선 및 단말, 서버의 하드웨어 성능 증가를 기반으로
소수의 공격 단말만으로도 강력한 공격을 수행할 수 있게 되었습니다.
아래 3개의 봇넷 최근에 발견된 최신 봇넷으로 DDoS 공격에 애용되고 있습니다. 먼저 < 그림 9>와 같이 Meris봇넷의 경우 최대 4800개의 노드에서 감지되었고 최대 337 Gbps, 평균 7 Gbps의 공격량이 감지되었습니다.
아래 < 그림 10 >은 Dvinis 봇넷은 최대 24000개의 노드에서 활동하는 것으로 탐지되었고, 최대 463 Gbps, 평균 3 Gbps의 트래픽을 발생시키는 것을 감지하였습니다.
아래 < 그림 11 >은 GitMirai 봇넷으로 3800개의 노드에서 활동하는 것을 감지하였으며, 최대 514 Gbps, 평균 5.4 Gbps의 트래픽을 발생시키는 것으로 파악되었습니다.
이상으로 2021년 2분기부터 1년 동안 확인된 공격을 바탕으로 작성한 보고서에서 몇 가지를 간추려서 작성해 보았습니다. 최근의 DDoS 공격 동향을 파악하는데 도움이 되었으면 합니다.