DDoS(Distributed Denial of Service) 공격은 오늘날 기업에서 되풀이되는 문제가 되었습니다. 이러한 사이버 공격은 끊임없이 진화하고 규모와 복잡성이 증폭되었습니다. 최근 여러 연구와 세간의 이목을 끄는 침해를 통해 DDoS 공격의 빈도가 매년 또는 분기마다 증가하고 있음을 알 수 있습니다.
2022년 2분기 DDoS 공격은 4 월 하루 평균 731건에서 5월 845건, 6월 1195건으로 꾸준히 증가했습니다. DDoS 공격의 빈도와 영향이 증가함에 따라 모든 기업은 방어를 강화하기 위해 추가 예방 조치를 취해야 합니다.
DDoS 공격이란 무엇입니까?
DDoS 공격은 특정 네트워크나 서버를 플러딩하여 압도하고 결국에는 오프라인 상태로 만드는 사이버 공격의 한 형태입니다. 서버가 용량을 초과하는 엄청난 양의 요청을 대상으로 하면 정당한 요청에 응답할 수 없게 되어 '서비스 거부'가 발생합니다.
DDoS 공격은 몇 가지 다른 형태를 취할 수 있습니다. 그것들을 분류하는 한 가지 방법은 OSI 모델을 기반으로 하는 것입니다. OSI(Open Systems Interconnection) 모델은 서로 다른 컴퓨터 시스템 간에 네트워크 통신이 발생하는 방식을 설명하는 개념적 프레임워크입니다. 이 모델은 1980년대 국제 표준화 기구(ISO)에서 개발했으며 각각 특정 기능을 가진 7개의 계층으로 구성됩니다.
애플리케이션 계층 DDoS 공격
애플리케이션 계층은 이메일, 웹 브라우징, 파일 전송 및 기타 네트워크 애플리케이션과 같은 서비스를 최종 사용자에게 제공하는 역할을 담당합니다. 이것은 메시지 및 패킷 생성이 시작되고 데이터베이스 액세스가 상주하는 계층입니다. FTP, SMTP, Telnet 및 RAS와 같은 최종 사용자 프로토콜도 이 계층에서 작동합니다.
DDoS 공격은 웹 서버 또는 애플리케이션을 압도할 목적으로 OSI 모델의 애플리케이션 계층(계층 7)을 대상으로 할 수 있습니다. 애플리케이션 계층 DDoS 공격에는 HTTP(Hypertext Transfer Protocol) GET, HTTP POST 및 웹사이트 양식 기반 공격이 포함됩니다. 이러한 공격으로 인해 계층이 결국 리소스 기능의 한계에 도달할 수 있습니다.
예를 들어 HTTP 느린 공격(Slowloris 공격이라고도 함)은 HTTP 프로토콜의 취약점을 악용하여 웹 서버를 대상으로 합니다. 이 공격은 대상 서버에 많은 수의 불완전한 HTTP 요청을 보낸 다음 해당 요청을 완료하지 않고 가능한 한 오랫동안 열어 두는 방식으로 작동합니다.
한편, HTTP 플러드는 웹 서버에 많은 양의 HTTP 요청을 플러딩하여 서버를 압도하고 합법적인 사용자가 사용할 수 없도록 만드는 것을 목표로 웹 서버를 대상으로 합니다. 많은 양의 트래픽은 CPU, 메모리 및 네트워크 대역폭과 같은 서버 리소스를 소비하여 서버 속도를 저하시키거나 충돌을 일으킬 수 있습니다.
네트워크 계층 DDoS 공격
OSI 모델에서 네트워크 계층은 서로 다른 네트워크 간에 데이터 패킷의 라우팅 및 전달을 처리하고 논리적 주소 지정 및 트래픽 제어를 제공하는 계층입니다.
DDoS 공격은 OSI 모델의 이 네트워크 계층(계층 3)을 대상으로 할 수도 있으며 대상의 네트워크 대역폭을 소비하는 것을 목표로 합니다. 네트워크 계층 DDoS 공격에는 ICMP(Internet Control Message Protocol) 플러드, ARP 플러드 및 IP(인터넷 프로토콜) 단편화 공격과 같은 공격이 포함됩니다.
ICMP Flood는 IP 네트워크에서 진단 및 오류 보고 목적으로 사용되는 ICMP 프로토콜을 대상으로 합니다. 이러한 유형의 공격에서 공격자는 많은 수의 ICMP 패킷을 대상 시스템이나 네트워크로 전송하여 시스템 리소스를 압도합니다.
ARP(Address Resolution Protocol) Flood는 IP 주소를 로컬 네트워크의 물리적 주소에 매핑하는 데 사용되는 ARP 프로토콜을 대상으로 합니다. ARP Flood 공격에서 공격자는 많은 수의 ARP 요청을 보내 네트워크를 폭주시키고 사용할 수 없게 만듭니다.
IP 조각화 공격은 네트워크를 통해 패킷을 라우팅하는 데 사용되는 IP 프로토콜을 대상으로 합니다. 이 공격에서 공격자는 대상 시스템이나 네트워크가 재조립하는 데 과도한 리소스를 사용하도록 의도적으로 조각난 패킷을 대상 시스템이나 네트워크로 보냅니다.
이러한 공격의 최종 결과는 방화벽에 추가 부하를 부과하고 사용 가능한 네트워크 대역폭을 손상시키는 것입니다.
볼륨 기반 트래픽
볼륨 기반 DDoS 공격에서 이 방법은 네트워크 대역폭을 넘어 전송되는 엄청난 양의 트래픽에 의존합니다. User Datagram Protocol 또는 UDP 플러드와 ICMP(Internet Control Message Protocol) 플러드는 볼륨 공격의 두 가지 일반적인 형태입니다. UDP 플러드 공격에서 공격자는 UDP 형식을 사용하여 무결성 검사를 건너뛰고 증폭 및 반사 공격을 생성합니다.
예를 들어, DNS 증폭 공격은 공격자가 공개 요청을 하는 볼류메트릭 DDoS 공격의 한 유형입니다. DNS 서버 (피해자의) IP 스푸핑 주소로 트래픽 증폭 공격으로 대상 서버를 압도합니다. ICMP 플러드는 공격자가 네트워크 노드에 잘못된 오류 요청을 보내 실제 요청에 응답할 수 없도록 합니다. 여기에서 공격자의 목표는 손상된 장치에서 짧은 시간에 가능한 한 많은 요청을 보내는 것입니다.
DDoS 공격의 또 다른 분류는 의도된 결과와 관련이 있습니다. 일부는 범람을 위한 것이고 다른 일부는 충돌을 위한 것입니다.
범람하는 DDoS 공격
이러한 공격은 압도적인 데이터 홍수를 사용하여 서버를 중단시키려는 의도로 서버를 대상으로 하는 공격입니다. 예를 들어 ICMP 플러드 또는 핑 플러드는 데이터 패킷을 전송하여 컴퓨터 네트워크를 압도하여 함께 다운시킵니다. 네트워킹 계층 공격에서 위에서 설명한 SYN 플러드도 유사한 기반으로 작동하는 것입니다.
충돌 DDoS 공격
이러한 유형의 DDoS 공격에서 공격자는 시스템 인프라의 약점을 이용하기 위해 손상된 시스템에 버그를 보냅니다. 이것은 라우터와 방화벽에 패치가 없을 때 악용될 수 있는 결함을 드러내고 시스템 충돌로 이어집니다.
전송 계층 DDoS 공격
전송 계층은 컴퓨터나 서버와 같은 최종 시스템 간에 안정적이고 오류 없는 데이터 전달을 보장합니다. 또한 오류 감지, 흐름 제어 및 혼잡 방지를 위한 메커니즘을 제공하고 계층 1에서 3까지의 메시지 전송을 관리합니다.
이러한 공격은 OSI 모델의 전송 계층(계층 4)을 대상으로 하며 대상의 서버 또는 네트워크 장치에 과부하를 주는 것을 목표로 합니다. 전송 계층 DDoS 공격에는 SYN(동기화) 플러드, TCP(전송 제어 프로토콜) 플러드 및 UDP(사용자 데이터그램 프로토콜) 플러드가 포함됩니다. 전송 계층 공격은 도달 대역폭이나 호스트 또는 네트워킹 장비의 연결을 제한할 수 있습니다.
SYN Flood는 네트워크의 장치 간 연결을 설정하는 데 사용되는 TCP(전송 제어 프로토콜) 프로토콜을 대상으로 합니다. SYN Flood 공격에서 공격자는 대상 시스템에 많은 수의 TCP SYN 요청을 보내지만 연결을 완료하지 않고 연결을 반쯤 열어두고 시스템 리소스를 압도합니다.
마찬가지로 TCP 서비스 장애는 대상 시스템이나 네트워크에 많은 수의 TCP 패킷을 전송하여 시스템 리소스를 소모하고 사용할 수 없게 만드는 방식으로 TCP 프로토콜을 대상으로 합니다. 그리고 UDP Flood는 대기 시간이 짧고 손실에 강한 통신에 사용되는 UDP 프로토콜을 대상으로 합니다.
가장 일반적인 DDoS 공격 유형은 무엇입니까?
세 가지 유형의 DDoS 공격이 모두 사이버 환경에서 널리 퍼져 있지만 아마도 가장 일반적인 유형은 네트워크 계층 DDoS 공격일 것입니다. 특히, 공격자가 다수의 UDP 패킷을 대상 시스템이나 네트워크로 전송하는 UDP 플러드입니다. UDP는 비연결형 프로토콜이므로 패킷이 승인되지 않으며 공격자는 패킷을 매우 빠른 속도로 보낼 수 있습니다. 이로 인해 대상 시스템이나 네트워크가 처리할 수 있는 것보다 더 많은 트래픽으로 넘쳐나 합법적인 사용자가 사용할 수 없게 될 수 있습니다.
DDoS 공격으로 인한 피해
DDoS 공격은 공격의 특성과 규모는 물론 대상 시스템이나 네트워크의 공격 처리 능력에 따라 매우 큰 피해를 줄 수 있습니다. 기업이나 정부 기관을 표적으로 삼을 때도 똑같이 위험할 수 있습니다.
예를 들어, 해커는 최근 독일군과 국방부 웹사이트에 DDoS 공격을 시작하여 일시적으로 사용할 수 없게 만들었습니다.
Kaspersky에 따르면 미국이 DDoS 공격을 가장 많이 받고 있으며, 2022년 2분기 총 공격 건수가 45.95%로 소폭 증가했습니다. 고유 표적에 대한 싱가포르의 점유율(3.22%)도 이 기간 동안 1분기보다 두 배 이상 증가했습니다. 2022. 루마니아 정보국(SRI)에 따르면 루마니아, 미국, 에스토니아, 폴란드, 체코 공화국의 기관에 대한 DDoS 공격도 시작되었습니다.
DDoS 완화
DDoS 완화 의 핵심은 경계를 늦추지 않고 탐지 프로세스를 조기에 시작하는 것입니다. 예를 들어 장치 유형, IP 주소 또는 위치와 같은 특성이 동일하거나 유사한 비정상적인 클라이언트에서 오는 엄청난 양의 트래픽과 같은 비정상적인 DDoS 관련 증상을 찾습니다. 또한 강력한 네트워크 트래픽 모니터링 및 분석을 채택하는 것도 중요합니다. 이러한 기능은 침입 또는 비정상적인 트래픽 로드가 발생한 경우 경고하고 DDoS 공격으로부터 보호 할 수 있습니다.
그 외에도 CDNetworks의 Flood Shield 와 같은 도구는 한 단계 더 나아가는 데 도움이 될 수 있습니다. Flood Shield는 실시간으로 DDoS 방어를 제공하는 클라우드 기반 DDoS 방어 서비스입니다. 또한 원본 사이트와 공용 네트워크 사이에 방화벽을 배포하는 동시에 속도 제한, 포트 제한 및 위협 인텔리전스와 같은 기술을 통해 모든 유형의 DDoS 공격에 대한 추가 조치를 제공합니다.
