[DDoS] 반사공격

반사공격

인터넷에서 UDP서비스를 사용하는 서버들은 매개체로 이용하여 DDoS를 발생시키는 공격 유형이고 좀비 PC가 아닌 실제 인터넷에서 정상 운영 중인 UDP서비스 서버들을 공격에 악용한다는 점이 일반적인 DDoS 공격과의 차이점이고 동작방식은 아래와 같다.

요청 패킷과 응답 패킷의 형상이 마치 반사되는 형태를 띠기 때문에 반사공격이라고 하고, 음답 패킷이 요청 패킷보다 큰 특징 떄문에 증폭 공격이라고도 하는데 그냥 반사공격이라고 하겠다.

1. 공격자는 C&C를 이용해 확보된 좀비 PC에게 공격 명령을 내린다.
2. 많은 좀비PC는 출발지 IP를 공격대상의IP로 위조하여 다수의 매개체 서버로 수많은 UDP요청 패킷을 날린다
3. 요청 패킷을 수신한 매개체 서버는 특벼란 검증절차 없이 응답 패킷을 전송하며, 출발지 IP가 공격 대상의 IP로 위조되었기 때문에 모든 응답 패킷은 공격 대상에게 전송한다.

대용량의 응답 패킷 떄문에 네트워크 대역폭이 고갈되어 정상 사용자도 접속하지 못하는 결과가 발생하며, 응답 패킷의 출발지 포트 번호는 매개체로 사용된 UDP 서비스의 포트 번호이다.

 

반사 공격은 UDP로 운영 중인 매개체를 통해 발생하므로 매개체에서 운영 중인 UDP 서비스의 종류에 따라 공격 명칭, 공격 방법이 달라지지만 공격 형태는 매개체의 UDP서비스에 따라 출발지 포트만 다를 뿐이고 형태는 거의 같다.

---

반사 공격의 특징

공격 패킷은 아래와 같은 특징이 있다

• 대부분 UDP 프로토콜
• 응답 패킷
• SRC IP는 특정 UDP서비스에서 사용되는 포트번호
• ICMP DST unreachable 패킷 수신 가능성 
• SRC IP는 실제 UDP서비스에 사용되는 서버의 IP

대응방안

서버 설정 강화:

• DNS, NTP,  다른 네트워크 프로토콜 서버에서 불필요한 서비스와 기능을 비활성화하여 악용될 가능성을 줄인다.
• 요청의 출처(IP 주소)를 검증하고, 위조된 IP에서 오는 요청을 차단한다.

트래픽 모니터링 및 필터링:

• 의심스러운 트래픽 패턴을 탐지하기 위해 네트워크 트래픽을 실시간으로 모니터링한다.
• 방화벽과 침입 방지 시스템(IPS)을 활용해 악성 트래픽을 차단한다.

속도 제한(rate limiting):

• 특정 IP 주소로부터 오는 요청 수를 제한해 반사 공격을 통해 생성된 대량의 트래픽을 완화한다.

DDoS 보호 솔루션 사용:

• 클라우드 기반의 DDoS 방어 서비스를 이용해 대규모 트래픽 공격을 흡수하고 분산시킨다.

서버 소프트웨어 업데이트:

• 서버 소프트웨어를 최신 버전으로 유지하여 알려진 취약점을 제거한다.