블로그

F5 분산 클라우드 서비스, 새로운 L7 DDoS 공격에 맞서다

수디르 파탐세티 썸네일
수디르 파탐세티
2023년 2월 10일 게시

F5는 2022년에 분산 클라우드 서비스를 출시하여 서비스로 사용할 수 있는 에지 기반 보안이 필요한 기업 조직을 위한 웹 애플리케이션 및 API 보호를 제공합니다. 오늘날 상호 연결된 세상에서 사이버 위협은 증가하고 있으며, 기업은 새로운 공격 유형으로부터 중요 인프라를 보호할 준비가 되어 있어야 합니다. 가장 흔한 사이버 공격 유형 중 하나는 분산 서비스 거부(DDoS) 공격으로, 가장 큰 규모의 웹사이트와 온라인 서비스도 중단시킬 수 있습니다.

최근, 킬넷(Killnet) 이라는 유명한 친러시아 해커조직이 대형 유럽 기업을 상대로 정교한 L7 DDoS 공격을 감행했습니다. 이 공격의 목적은 회사 서버를 엄청난 양의 트래픽으로 과부하시켜, 최대 12만 RPS의 공격 트래픽으로 사용자가 웹사이트에 접속하기 어렵게 만드는 것이었습니다. 그러나 F5 보안 운영 센터 (SOC)의 노력과 F5 분산 클라우드 서비스의 고급 DDoS 완화 기능 덕분에 공격은 성공적으로 완화되고 있으며, 웹사이트는 공격이 지속되는 동안에도 운영을 유지했습니다. 이 공격은 이 그룹에서 비롯된 최근 몇 주 동안 발생한 여러 DDoS 캠페인 의 일부입니다.

메모: 이는 일주일 이상 진행 중인 활발한 공격 캠페인이며, 이 블로그 게시물을 작성하는 동안 우리는 이러한 공격을 성공적으로 완화하고 있습니다.

이 특정 DDoS 공격은 전 세계 여러 지역에서 시작되었습니다. 위 지도의 회색 점은 공격의 출처를 나타내고, 빨간색 상자는 애플리케이션의 공격 트래픽이 필터링되고 합법적인 트래픽이 허용되는 F5 글로벌 네트워크 접속 지점을 나타냅니다.

Killnet 공격의 주요 특징 중 하나는 애플리케이션 계층(L7)에 초점을 맞춘다는 것입니다. 이러한 공격은 일반적인 사용자 행동을 모방하여 합법적인 트래픽과 구별하기 어렵고, 여러 애플리케이션 공격 벡터가 포함되며, 다양한 소스 위치, IP 및 기타 공격 구성 요소를 순환하는 것을 포함하여 재조정할 수 있는 기능이 필요하기 때문에 탐지하고 완화하기가 특히 어렵습니다.

공격이 시작된 상위 소스 IP. 공격 트래픽은 전 세계 여러 분산 IP 주소에서 확인됩니다.
이 공격 시나리오에서 대부분의 공격 트래픽을 담당하는 TLS 지문입니다.

트래픽 출처가 35개의 다른 IP 주소와 19개국에 분산되어 있음에도 불구하고, 공격 트래픽은 단 3개의 다른 TLS 지문에서 발생했습니다. 위 이미지에 표시된 것처럼, 공격 트래픽의 72%가 1 TLS Fingerprint에서 발생하는 것으로 나타났습니다. 이 지문은 Tofsee 맬웨어 와 관련이 있는데, Tofsee에 감염된 시스템은 DDoS 봇넷의 일부로 사용됩니다.

공격자는 지리적 위치 보호의 틈을 찾기 위해 다양한 지역을 활용했습니다.
공격 중에 다양한 HTTP 방법과 URL 조합이 표적으로 삼았습니다.

F5 SOC는 트래픽 필터링, IP 인텔리전스, 속도 제한을 포함한 다양한 전략을 사용하여 공격을 방어하고 있습니다. 이를 통해 팀은 합법적인 트래픽은 웹사이트에 계속 도달하도록 허용하면서 악성 트래픽만 식별하여 차단할 수 있습니다. 성공적인 완화의 또 다른 핵심 구성 요소는 팀이 실시간 위협 인텔리전스와 L7 DDoS 자동 완화 기능을 사용하여 인간의 개입 없이도 이 공격의 요소를 실시간으로 차단한 것입니다. 이러한 정보를 통해 팀은 공격자보다 앞서 나갈 수 있고, 지역, 다양한 IP 주소, 새로운 공격 경로에 따라 공격이 진화함에 따라 방어를 신속하게 조정할 수 있습니다.

Killnet과 다른 그룹이 L7 DDoS 공격을 성공적으로 완화한 것은 새로운 상식을 보여줍니다. F5 Labs 2023 DDoS 공격 추세 보고서 에서 DDoS 공격에 대한 더 많은 통찰력을 확인하세요. 이 공격 요약에서는 다층 보안 인프라를 구축하고 실시간으로 지원할 수 있는 잘 훈련된 보안팀을 갖추는 것이 얼마나 중요한지 강조합니다. 트래픽 필터링, 속도 제한, 클라우드 기반 DDoS 스크러빙, 실시간 위협 인텔리전스 및 견고한 재해 복구 계획을 조합하여 사용함으로써 조직은 인프라와 애플리케이션을 표적으로 삼는 가장 정교한 DDoS 공격으로부터도 자신을 보호할 수 있습니다.

파괴적인 공격을 받고 F5 Distributed Cloud Services에 긴급 온보딩이 필요한 경우 다음 주소로 긴급 지원 전화로 문의하세요. (866) 329-4253 또는 +1 (206) 272-7969