블로그

지난 달의 DDoS 공격 이해하기

F5 썸네일
F5
2016년 10월 27일 게시

이 글에서는 2016년 9월과 10월에 발생한 전례 없는 #DDoS 공격의 영향을 간략히 살펴보고 회복성을 개선하고자 하는 사람들을 위한 지침을 제공합니다.

사물인터넷의 도래를 축하해요! 9월부터 3번이나 사이버 무기로 사용되었기 때문에 마침내 이것이 존재한다는 것을 알 수 있었습니다. 이 사건은 블로거 저널리스트 브라이언 크렙스에 대한 대규모 공격으로 시작되었는데, 그의 웹사이트 krebsonsecurity.com 은 CDN 아카마이에 의해 호스팅 및 보호받고 있었습니다. 이 공격은 Akamai의 다른 고객에게도 영향을 미칠 정도로 심각했기 때문에 Akamai는 블로거에 대한 무료 변호를 포기했습니다.

업계 연구원(F5 포함)은 DVR과 비디오 카메라 및 기타 "사물"로 구성된 새로운 봇넷에 대한 경고를 받았습니다. 그러나 DVR과 비디오 카메라는 높은 CPU 성능(따라서 정교한 맬웨어를 호스팅할 수 있음)과 고대역폭 업링크(각각 최대 100Mbps의 공격을 가할 수 있음)를 모두 갖추고 있기 때문에 중요합니다. 크렙스를 향한 총 공격 트래픽은 620Gbs였는데, 이는 당시 세계 최대 규모의 DDoS 공격이었습니다.

두 번째 공격으로 인해 세계 3위(자료에 따르면)에 해당하는 최대 규모의 프랑스 호스팅 제공업체 OVH가 하루 종일 서비스를 중단했습니다. 많은 언론 보도에 따르면 OVH 공격 규모는 크렙스 공격의 거의 두 배 에 달합니다. 초당 1테라비트에 달하는 규모입니다.

세 번째이자 아마도 가장 심각했던 공격은 DNS 서비스 회사인 Dyn에 대한 공격이었습니다. Dyn은 Twitter, Spotify, GitHub(아이러니하게도 IoT 봇넷 코드가 게시된 곳) 등 많은 주요 웹사이트에 대한 DNS 공급업체입니다.

그럼, 누가 그랬을까?

이상한 우연으로, 업계의 거물 브루스 슈나이어는 전달에 인터뷰를 하며, 국가 단위의 대규모 DDoS 공격이 다가올 것이라고 경고했습니다. 그의 내부 정보는 핵심 인터넷 인프라에 대한 보정 DDoS 공격을 감지한 익명의 업계 소식통으로부터 나왔습니다.

하지만 결론적으로, 그러한 탐색 공격은 단지 우연의 일치일 수도 있습니다. 슈나이어는 자신의 블로그에서 Dyn 공격이 국가 차원의 공격이라고 전혀 생각하지 않는다고 인정했습니다 . 하지만 어쩌면 그 국가는 그저 지켜보고 기다리고 있을 수도 있다.

크렙스, OVH, 다인 사건에서 귀속의 핵심은 브라이언 크렙스 자신 에게서 나올 가능성이 높습니다.

"DYN에 대한 공격은 DYN 연구원인 Doug Madory가 북미 네트워크 운영자 그룹(NANOG) 회의에서 텍사스주 댈러스에서 DDoS 공격에 대한 발표를 한 지 몇 시간 만에 발생했습니다. ... KrebsOnSecurity.com에 대한 기록적인 620Gbps DDoS는 제가 Madory와 협업한 기사를 게시한 지 몇 시간 만에 발생했습니다."

아마도 적은 브라이언 크렙스나 더그 매도리, 아니면 둘 다에 대한 의도를 가진 개인(또는 소규모 집단)일 것이다.

우리는 모두 중국과 미국 간의 본격적인 사이버 전쟁이 수백만 명의 사용자에게 영향을 미칠 것이라는 점을 알고 있습니다. 하지만 만약 그것이 한 개인이 다른 한 개인을 상대로 벌이는 개인적인 의도로 밝혀진다면? 그건 국가 차원의 공격보다 더 무섭죠. 한 사람이 다른 사람에게 원한을 품고 있으면 수백만 명의 사람들의 중요한 서비스를 방해할 수 있는데, 우리는 어떤 종류의 인터넷을 만든 걸까?

우리는 어떻게 여기까지 왔는가?

F5는 1년 넘게 사물인터넷(IoT) 기기 탐색을 모니터링해왔습니다. 이 문제에 대한 첫 번째 보고서는 2016년 7월에 발행되었으며, Telnet 및 SSH 무차별 대입 공격이 전년 대비 140% 증가한 것으로 나타났습니다. Telnet과 SSH는 널리 사용되는 원격 관리 포트이지만, 공급업체의 기본(또는 추측하기 쉬운) 사용자 이름과 비밀번호가 인터넷에 무의식적으로 노출되는 경우가 많습니다.

2016년 10월에 Krebs, OVH, Dyn에 가해진 전례 없는 DDoS 공격은 바로 이 기술(IoT 기기의 텔넷 포트와 공급업체 기본 비밀번호 스캔)을 사용하여 고유한 기능을 가진 봇넷을 생성했습니다.

모두가 다시 표적이 되었습니다. 봇 목동들은 이전에는 건드릴 수 없다고 생각했던 대상인 세계 최대 규모의 공급업체를 상대로 사이버 무기를 사용하는 것을 두려워하지 않습니다.

이런 공격은 하룻밤 사이에 일어난 것처럼 느껴질 수 있지만, 실제로 봇 헤더는 적어도 1년 이상 취약한 IoT 기기를 천천히 수색하고, 찾아내고, 침해해 왔습니다.

우리가 아는 것에 대한 심층 분석

실제로 우리는 IoT 봇넷인 Mirai의 기능에 대해 꽤 잘 알고 있습니다. F5의 연구원들은 Mirai 봇의 작성자가 hackforums.net에 소스코드를 공개한 직후, Mirai 봇에 대한 기술적 분석을 작성했습니다.

이번 집단 화력은 이전 봇넷보다 훨씬 강력할 것으로 보이며 초당 테라비트 이상에 달할 것으로 예상됩니다.

IoT 봇넷에는 다음과 같은 고급 DDoS 기술이 포함됩니다(이에 국한되지 않음). 아래의 처방적 지침 섹션에서는 가능한 경우 이러한 문제를 완화하는 방법에 대한 권장 사항을 제공합니다.

HTTP GET 플러드는 리디렉션에 강함

HTTP GET 플러드는 이미 악성이었습니다. 수년간 공격자들은 대용량 객체에 대한 HTTP 요청을 대량으로 보내거나 느린 데이터베이스 쿼리를 보내는 방식으로 웹 사이트를 비활성화할 수 있었습니다. 일반적으로 이러한 요청은 하드웨어 패킷 처리 기능이 있는 대부분 장치에 대한 일반 HTTP 요청처럼 보이기 때문에 표준 방화벽을 통해 바로 흐릅니다. Mirai 공격 코드는 클라우드 기반 DDoS 스크러버의 지문을 수집한 다음 스크러버가 다시 보내는 302 리디렉션을 우회하여 한 단계 더 나아갑니다. 리디렉션은 간단한 봇을 방해하는 좋은 방법이었지만, 이건 간단하지 않습니다 .

DNS 물 고문

Mirai 봇에는 대상 DNS 공급자를 대상으로 하는 "물 고문" 공격이 포함되어 있습니다. 이 기술은 일반적인 DNS 반사 및 증폭 공격과 다릅니다. 봇이 보내야 하는 쿼리가 훨씬 적어 ISP의 재귀적 DNS 서버가 대상 권한 DNS 서버에서 공격을 수행할 수 있기 때문입니다. 이 공격에서 봇은 확인할 대상 도메인 이름을 포함하는 잘 구성된 DNS 쿼리를 보내면서, 이름에 무작위로 생성된 접두사를 추가합니다. 이 공격은 대상 DNS 서버가 과부하되어 응답하지 않을 때 효과적입니다. 그러면 ISP의 DNS 서버는 자동으로 쿼리를 다시 전송하여 대상 조직의 다른 권한 있는 DNS 서버를 시도하여 봇을 대신하여 해당 서버를 공격합니다.

Dyn은 금요일 10월 21일 공격에 대한 Dyn 분석 요약이라는 블로그 게시물에서 물고문이 실제로 자신들을 상대로 사용되었다는 것을 확인했습니다.

"예를 들어, 공격의 영향으로 재귀 서버가 캐시를 새로 고치려고 시도하면서 합법적인 재시도 활동이 폭풍처럼 발생하여 많은 수의 IP 주소에서 정상 트래픽 양의 10~20배가 생성되었습니다. DNS 트래픽 혼잡이 발생하면 합법적인 재시도가 트래픽 양을 더욱 증가시킬 수 있습니다.

악성 공격은 최소한 하나의 봇넷에서 비롯된 것으로 보이며, 재시도 폭풍은 현재 알려진 것보다 훨씬 더 큰 규모의 엔드포인트가 있다는 잘못된 지표를 제공합니다. 우리는 여전히 데이터 분석을 진행 중이지만 이 보고서 작성 시점의 추정치는 악성 엔드포인트가 100,000개에 달합니다. "

F5 연구원 리론 세갈은 몇 주 전 게시물에서 크렙스를 쓰러뜨린 봇, 미라이의 물 고문 공격 메커니즘을 자세히 설명했습니다.

업데이트된 레이어 4 공격

봇 제작자에 따르면, 소위 "TCP STOMP" 공격은 완화 장치를 우회하기 위한 간단한 ACK 플러드의 변형입니다. 이 공격의 실제 구현을 분석하는 동안 봇이 전체 TCP 연결을 연 다음 연결을 유지하기 위해 합법적인 시퀀스 번호가 있는 ACK 패킷으로 계속해서 플러딩을 하는 것으로 보입니다.

새로운 IoT 봇에 대한 개별 위협 벡터에 대한 이해를 바탕으로 개별 위협 벡터를 완화하기 위한 몇 가지 지침을 제공할 수 있습니다.

지침을 시작하기에 앞서 명확히 해두겠습니다. Krebs, OVH, Dyn 공격은 그 자체로 독보적입니다. 명백히 기존의 DDoS 완화 기술은 공격자들을 쉽게 물리칠 수 없었습니다. 따라서 서비스 중단과 이에 따른 언론의 주요 보도가 발생했습니다. 그러나 결국 많은 경우에 완화 조치가 효과를 발휘 했습니다 . 그리고 Anycast와 분산된 데이터 센터를 사용하는 적절한 아키텍처도 도움이 되었습니다. 미국의 서해안과 서부 지역은 Dyn 공격의 영향을 거의 받지 않았습니다.

처방적 지침

우리의 지침은 고객에게서 나옵니다. F5는 20년 동안 세계적인 유명 브랜드에 애플리케이션을 제공해 왔으며, 그 중 많은 고객들이 매일 DDoS 공격을 받고 있습니다. 가장 경험이 풍부한 고객은 방어를 세 가지 또는 네 가지 구역으로 나눕니다.

  • 클라우드 스크러빙
  • 네트워크 방어
  • 애플리케이션 방어
  • 해당되는 경우 DNS

따라서 최상의 DDoS 방지 아키텍처는 다음과 같습니다.

이는 F5 고객이 수년간 널리 사용해 온 DDoS 보호 참조 아키텍처입니다. 전체 참조 아키텍처 와 권장 사례는 F5.com에서 확인할 수 있습니다. 그러나 보다 빠른 소비를 위해 이러한 공격과 관련된 지침은 아래에 자세히 나와 있습니다.

볼륨적 방어

프랑스 호스팅 회사 OVH는 990Gbs의 볼륨 공격을 받았습니다. Dyn 공격은 최대 1.2테라비트에 달했다는 보고가 있었습니다. 그 규모의 공격은 일반적으로 대규모 방어에 특화된 클라우드 스크러버로만 완화할 수 있습니다. F5의 Silverline DDoS 보호 기능을 포함한 클라우드 스크러버는 공격 트래픽을 가로채서 깨끗하게 정리하고, 미리 준비된 터널을 통해 정상적인 트래픽만 대상으로 전송합니다.

안내: 조직에서는 공격을 받기 전에 하나 이상의 클라우드 스크러버와 계약을 체결해야 합니다. 미리 준비된 터널을 구성하는 일은 볼륨 공격 중에 쉽게 할 수 있는 일이 아닙니다. DDoS 전략의 일환으로 클라우드 스크러빙 DDoS 방어 계약을 체결하세요.

안내: 공격 확산은 볼륨 공격에 도움이 될 수 있습니다. DNS도 친구가 될 수 있다는 점을 기억하세요. DDoS 공격이 발생할 때 글로벌 데이터 센터에 애니캐스트를 실행하여 복제된 콘텐츠를 분산시키세요. Anycast에 참여하는 각 데이터 센터는 공격을 분산하는 데 도움이 될 수 있습니다.

관련 자료:

네트워크 방어

Mirai 봇은 표준 SYN 플러드, TCP 플러드, UDP 플러드 등 여러 가지 레이어 4 공격을 무기고에 포함하고 있습니다. 이러한 오래된 위협 벡터는 클라우드 스크러버에서 완화해야 하며, 위협 벡터가 충분히 작다면 데이터 센터의 네트워크 방어 계층에서 완화해야 합니다. 네트워크 방어 계층은 네트워크 방화벽을 중심으로 구축됩니다. SYN 플러드나 ICMP 조각화 플러드와 같은 계산적 공격을 완화하도록 설계되었습니다. 이 계층은 또한 유입 지점의 혼잡(일반적으로 정격 파이프 크기의 80~90%)까지의 체적 공격을 완화합니다.

안내: 대부분의 방화벽은 적절하게 구성하지 않으면 DDoS 공격에 저항할 수 없습니다. 설정에 대한 내용은 네트워크 방화벽 공급업체에 문의하세요. 일부 고객은 4계층 공격을 막기 위해 방화벽 앞에 DDoS 차단 장치를 설치합니다.

안내: F5 방화벽 모듈(BIG-IP Advanced Firewall Manager(AFM))은 레이어 4 공격을 차단하기 위해 특별히 설계되었습니다. 일부 아키텍트는 바로 이런 경우에 BIG-IP AFM을 사용합니다. 즉, 기존 네트워크 방화벽 앞에 설치하거나 기존 방화벽을 대체하여 사용합니다. AFM을 갖춘 하드웨어 어플라이언스는 현장 프로그래밍 가능 게이트 어레이를 사용하여 30가지 이상의 패킷 플러드를 차단하고 CPU의 작업 부담을 덜어줍니다.

관련 자료:

애플리케이션 방어

Mirai 봇은 인상적인 HTTP GET 플러드를 생성하고 직접 처리를 수행할 수 있습니다. GET 플러드는 네트워크 방어 장치에 일반 트래픽처럼 보이기 때문에 애플리케이션 계층에서 처리해야 합니다. GET 플러드는 F5가 확인하는 가장 일반적인 애플리케이션 계층 공격 유형이며, 고객이 사용하는 제품 포트폴리오에 따라 이를 완화하는 방법이 많습니다.

안내: 간단한 리디렉션을 처리할 수 있는 봇의 경우 F5는 초당 요청 수 메트릭을 기준으로 연결을 제한하거나 "로그인 월"이라고 하는 것을 사용할 것을 권장합니다. 로그인 월은 데이터베이스 쿼리와 같은 캐시되지 않은 리소스나 동적 리소스를 사용하기 전에 애플리케이션에 대한 연결을 인증해야 합니다.

관련 자료:

DNS 방어

Dyn 공격과 관련해서 언급할 만한 DNS 문제는 두 가지가 있습니다. 첫 번째이자 가장 간단한 방법은 새로운 유형의 공격 중 하나로 인해 DNS 제공자가 오프라인이 된 경우 어떻게 해야 하는가입니다. Dyn은 Twitter, GitHub, Spotify의 이름 서비스 공급자였으므로 Dyn이 차단되었을 때 최종 사용자는 이러한 서비스의 IP 주소를 찾을 수 없었습니다.

안내: 중요한 애플리케이션에 대한 주소를 제공하기 위해 여러 DNS 공급자를 포함하되 이에 국한되지 않는 DNS 계획에 복원력을 구축하세요. 이런 방식을 사용하면 공급업체 중 하나가 일시적으로 공격을 받더라도 다른 공급업체가 귀하의 주소에 서비스를 제공할 수 있습니다. 최종 사용자 속도가 몇 밀리초 정도 느려질 수 있지만 애플리케이션과 서비스는 계속 사용할 수 있습니다.

두 번째 문제는 자신의 DNS 서버가 공격을 받으면 어떻게 해야 하는가입니다. DNS는 가장 집중적으로 다루는 서비스이고 HTTP는 그 다음입니다. DNS가 중단되면 모든 외부 데이터 센터 서비스(단일 애플리케이션뿐만 아니라)가 영향을 받습니다. 이러한 단일 실패 지점과 종종 부족한 DNS 인프라로 인해 DNS는 공격자에게 매력적인 대상이 됩니다.

자신의 서버가 공격을 받지 않더라도 하류의 중단으로 인해 다른 DNS 서버 집합이 자신의 캐시를 채우려고 하면서 귀하의 DNS 서버에 요청을 범람시킬 수 있습니다. Dyn에서는 이런 일이 발생하면 정상적인 요청의 10~20배가 넘는 요청을 보고했는데, 이는 상황에 대처하려는 합법적인 DNS 서버에서 발생한 것이었습니다.

안내: 상당수의 DNS 서비스는 소규모에서 중규모 DDoS 공격에도 견딜 수 없을 정도로 공급이 부족합니다. DNS 캐시는 DNS 서비스의 체감된 성능은 높이고 표준 DNS 쿼리 공격에 대한 회복력을 제공할 수 있기 때문에 인기를 얻었습니다. 공격자는 "해당 도메인 없음"(또는 NXDOMAIN) 공격이라고 하는 공격으로 전환했는데, 이는 캐시에서 제공하는 성능 이점을 빠르게 소모합니다.

F5 고객의 경우 F5는 F5 DNS Express™라는 DNS 프록시 모듈을 사용하여 DNS 서비스를 프런트엔딩하는 것을 권장합니다. DNS Express는 기존 DNS 서버 앞에서 절대적 확인자 역할을 합니다. 서버에서 영역 정보를 로드하고 모든 요청을 해결하거나 NXDOMAIN을 반환합니다. 이는 캐시가 아니며 NXDOMAIN 쿼리 플러드를 통해 비울 수 없습니다.

안내: DDoS 공격이 발생했을 때 DNS가 친구가 될 수 있다는 것을 기억하세요. DDoS 공격이 발생할 때 공격을 분산시키기 위해 복제된 콘텐츠를 전 세계 데이터 센터에 애니캐스트하세요.

안내: DNS 서비스의 배치를 고려해 보세요. DNS 서비스는 종종 첫 번째 보안 경계와 분리된 별도의 장치 세트로 존재합니다. 이는 DNS를 서비스하는 애플리케이션과 독립적으로 유지하기 위해 수행됩니다.

여러 개의 데이터 센터를 보유한 일부 대규모 기업은 BIG-IP DNS와 DNS Express, BIG-IP AFM 방화벽 모듈을 함께 사용하여 주요 보안 경계 외부의 DNS를 서비스합니다. 이 접근 방식의 주요 이점은 DDoS로 인해 네트워크 방어 계층이 오프라인이 되어도 DNS 서비스는 계속 사용할 수 있다는 것입니다.

관련 자료:

결론

크렙스, OVH, 다인 공격은 DDoS의 새로운 단계를 보여줍니다. 동시에 그들은 사물인터넷의 시대가 도래했음을 알립니다.

보시다시피 F5는 DDoS에 대한 연구, 대응 및 문서 작성에 많은 경험을 가지고 있으며 고객과 협력하여 애플리케이션을 계속 사용할 수 있도록 하려고 합니다. 이를 위해서는 F5부터 파트너, 고객에 이르기까지 우리 모두의 경계가 필요합니다.

고객이시든 아니든 공격을 받으셨다면 F5 Silverline DDoS Protection에 전화 한 통화로 해결된다는 사실을 기억하세요. 866-329-4253.

사물 인터넷 위협에 관해서, 블랙햇들은 항상 서로 위협을 공유합니다(그들은 Krebs와 OVH를 공격한 이후에 Mirai를 공유했고, Dyn 공격에도 사용되었습니다). 정보 보안 커뮤니티에 속한 우리는 이 글로벌 IoT 문제를 해결하기 위해 힘을 합해 그들의 플레이북에서 한 페이지를 따를 필요가 있습니다. 우리는 이렇게 할 수밖에 없습니다. 문제를 이해하고, 해결하고, 이를 통해 발전하려는 것이 인간의 본성입니다.

공격의 규모가 커지고, 이러한 대규모 공격을 수용하기 위해 스크러빙 서비스의 대역폭이 확장되고, IoT 장치 제조업체가 장치의 보안성을 처리하는 방법을 알아내는 동안 향후 몇 년 동안은 의심할 여지 없이 난항이 있을 것입니다. 기업과 소비자는 이전의 모든 주요 문제와 마찬가지로 이러한 진화하는 위협에 익숙해져야 합니다.