블로그

L7 DDoS 공격으로부터 Microsoft 앱 보호

제이 켈리 썸네일
제이 켈리
2023년 6월 29일 게시

최근 우리 중 다수가 조직이나 개인이 매일 개인적으로나 업무상 사용하는 핵심 애플리케이션 중 일부에 접근하는 데 어려움을 겪었습니다. 6월 초순에 많은 사용자가 Microsoft Outlook.com 웹 포털에 접속하는 데 문제가 있었고, 그다음에는 OneDrive , 마지막으로 Microsoft Azure Portal 에 접속하는 데 문제가 발생했습니다.

일부 사람들은 중요한 Microsoft 애플리케이션에 액세스하지 못한 것은 구성 오류로 인한 것일 수 있다고 추측했습니다. 다른 사람들은 이것이 사이버 공격일 수도 있다고 의견을 밝혔습니다. Microsoft는 중요 애플리케이션의 트래픽 증가율을 관리하고 균형을 유지한다고 밝혔습니다. 

6월 16일 금요일, Microsoft 보안 대응 센터(MSRC)에서 게시한 블로그 에는 7계층 분산 서비스 거부(DDoS) 공격에 대한 Microsoft의 대응이라는 제목으로 6월 7일에 시작되어 6월 9일까지 이어진 Microsoft 애플리케이션 중단의 근본 원인이 설명되어 있습니다.

블로그에서는 Microsoft가 L7(계층 7) DDoS 공격을 받았으며, 이로 인해 해당 서비스에 일시적으로 액세스할 수 없게 되었다는 사실을 확인했습니다. 해당 서비스에는 Outlook.com, OneDrive, Microsoft Azure Portal 등이 있습니다 .

블로그 게시물에서는 Microsoft가 "일부 서비스에 대한 트래픽 급증을 확인했으며 이로 인해 가용성이 일시적으로 영향을 받았다"고 언급했습니다. 또한 Microsoft가 "즉시 조사를 시작하고 진행 중인 DDoS 활동을 추적하기 시작했다"고 언급했습니다. MSRC 블로그에서는 이 공격이 마이크로소프트가 추적하고 Storm-1359로 식별한 위협 행위자, 즉 Anonymous Sudan에 의해 자행되었다고 설명했습니다. 블로그에서는 Microsoft에서 고객 데이터에 접근하거나 손상되었다는 증거를 찾지 못했다고 강조했습니다. DDoS 공격은 공격자(Storm-1359라고도 함)를 방해하고 주의를 끌어 홍보하는 것이 목적이었습니다. 익명의 수단.

많은 DDoS 공격이 OSI(개방형 시스템 상호 연결) 모델의 3계층(네트워크 계층)이나 4계층(전송 계층)을 타겟으로 하는 반면, L7(애플리케이션 계층) DDoS 공격은 전혀 다른 공격입니다. L7 DDoS 공격은 복잡하고 은밀하며 합법적인 웹 애플리케이션 트래픽과 구별하기 어렵기 때문에 L3 또는 L4 DDoS 공격보다 감지하기가 훨씬 어렵습니다. 이러한 공격은 애플리케이션 서버의 특정 구성 요소를 대상으로 요청을 폭격하여 과부하가 걸려 어떤 트래픽에도 응답할 수 없게 만듭니다. 이러한 공격은 변형되기도 하며, 공격이 자주 그리고 무작위로 여러 번 바뀝니다. 

Microsoft에 따르면, 해당 서비스에 대한 L7 DDoS 공격은 공격자가 가상 사설 서버, 클라우드 환경, 오픈 프록시, 구매 또는 인수한 DDoS 도구에 의존하여 여러 클라우드 서비스와 "오픈 프록시 인프라"에서 공격을 시작할 수 있도록 하는 "봇넷과 도구 모음"을 활용했습니다.

Storm-1359(일명 Anonymous Sudan)는 Microsoft에 대해 세 가지 유형의 L7 DDoS 공격을 사용했습니다.

  • HTTP(S) 플러드 공격은 SSL/TLS 핸드셰이크 및 다양한 지역과 소스 IP 주소의 HTTP(S) 요청을 포함한 상당수의 요청이 CPU, 메모리와 같은 시스템 리소스를 과부하시켜 애플리케이션 서버가 요청 처리를 중단하게 만드는 공격입니다.
  • 캐시 바이패스는 공격자가 생성하고 생성한 URL에 대한 요청을 시작함으로써 콘텐츠 전송 네트워크(CDN)를 우회하며, 이를 통해 애플리케이션이 모든 요청을 원본 서버로 전달하도록 지시합니다.
  • Slowloris는 단일 시스템을 사용하여 웹 서버 연결을 시작하고 리소스 요청 수락을 승인하지 못하거나 수락 속도를 늦추는 방식으로 연결을 강제로 열어 둡니다.

블로그 게시물에서 Microsoft는 "고객을 DDoS 공격으로부터 더 잘 보호하기 위해 Azure 웹 애플리케이션 방화벽(WAF)을 조정하는 것을 포함하여 계층 7 보호 기능을 강화했다"고 밝혔습니다.

Microsoft는 L7(애플리케이션 계층) DDoS 공격으로부터 더욱 보호하기 위해 고객에게 다음을 포함한 여러 가지 권장 사항을 제공했습니다.

  • Azure WAF 또는 다른 L7 서비스를 사용하여 웹 앱 보호
  • Azure WAF 또는 다른 서비스에서 봇 보호 기능을 사용하여 악의적인 봇으로부터 방어
  • 악성 IP 주소 및 범위 식별 및 차단
  • 정의된 지리적 지역 외부 또는 식별된 지역 내에서 트래픽을 차단, 속도 제한 설정 또는 리디렉션
  • 알려진 공격 시그니처를 활용하여 악성 HTTP(S) 트래픽을 자동으로 차단하거나 속도 제한하는 사용자 지정 WAF 정책을 생성합니다.

F5 웹앱 및 API 보안(WAAP)은 이미 많은 Microsoft 사용자와 고객이 감지하기 어려운 복잡한 L7 DDoS 공격으로부터 웹 애플리케이션을 보호하는 데 도움을 주고 있습니다. F5 WAAP는 F5 WAF 엔진과 뛰어난 탐지 및 모니터링 기능을 기반으로 구축되어 익숙하게 사용할 수 있습니다. 하드웨어, SaaS 및 Microsoft Azure의 가상 버전 소프트웨어 등 필요한 모든 제공 모델과 모든 조합으로 사용할 수 있는 F5 WAAP는 앱이 호스팅되는 모든 곳에 배포되어 L7 DDoS 공격으로부터 포괄적인 보호를 보장합니다.

또한, 수상 경력에 빛나는 F5 Distributed Cloud Bot Defense도 제공됩니다. 이는 F5의 SaaS 기반 봇 완화 및 방어 솔루션으로, 세계 최대 규모의 은행, 소매업체 및 항공사를 방어합니다. Distributed Cloud Bot Defense는 자동화의 실체를 밝혀내는 탁월한 장치 및 행동 신호 분석을 기반으로 악의적인 봇으로부터 보호합니다.
 

F5 WAAP 및 DDoS 보호 솔루션과 봇 방어에 대한 자세한 내용: