DDoS 공격이란 무엇인가요?
당신이 해커들에 의해 웹사이트가 마비되었다거나 인기 있는 웹사이트가 다운되었다는 소식을 들어본 적이 있을 가능성이 높습니다. 인기 있고 트래픽이 많은 웹사이트의 대부분의 다운타임은 분산 서비스 거부(DDoS) 공격에 의해 발생합니다.
네트워크 장치가 처리할 수 있는 트래픽의 대역폭에는 한계가 있습니다. 이러한 한계는 장치의 처리 능력, 연결 노드(스위치 또는 라우터)의 데이터 경계, 그리고 인터넷 서비스 제공업체(ISP)가 허용하는 최대 연결 속도와 대역폭에 따라 달라집니다.
이 모든 것이 어떻게 웹사이트의 다운타임을 초래하게 되는가? 이러한 공격은 어떻게 발생하는가? 이 기사는 DDoS 공격에 대한 폭로와 이를 피하거나 방지하는 방법에 대해 다룰 것입니다.
일반적인 DDoS 공격의 분석
해커들은 먼저 취약한 컴퓨터들을 모집하여 DDoS 공격을 시작하는데, 이 컴퓨터들은 일반적으로 봇넷이라고 불립니다. 봇넷은 멀웨어에 의해 침해된 상호 연결된 컴퓨터 및 장치들의 시리즈입니다. 그런 다음 해커들은 봇넷을 사용하여 동시에 리소스 요청을 보내어 피해자의 연결 대역폭을 사용하게 하여, 장치의 서비스에 대한 합법적인 원격 사용자들이 그것들에 접근하는 것을 방지합니다.
DDoS 공격을 실행하는 데 사용되는 데이터 패킷은 인터넷을 통한 일상적인 통신에 사용되는 것과 동일하거나 유사하지만, 시간당 압도적으로 큰 덩어리로 조정됩니다. 비디오 스트리밍 트래픽을 처리하는 온라인 서버는 초당 20 기가바이트의 대역폭 상한을 허용할 수 있습니다. 반면, DDoS 공격은 단일 서버나 네트워크 장치에 초당 최대 1 테라바이트의 데이터를 로드할 수 있습니다. 이러한 트래픽의 양은 Google과 같은 대형 서비스를 응답하지 않게 만드는 데 성공할 것입니다.
DDoS 공격의 잠재적 대상은 누구인가?
DDoS 공격은 인터넷 연결이 있는 여러 장치의 취약성과 초보 해커들이 다크 웹에서 봇넷을 사용할 수 있는 접근성 때문에 매우 쉽습니다. 많은 인터넷 사용자들, 그리고 놀랍게도 일부 조직들은 기기와 함께 제공된 기본 제조업체 로그인 세부 정보를 변경하지 않고 인터넷 활성화 기술을 배치합니다. 해커들은 이러한 장치를 인터넷에서 찾아내 접근하여 멀웨어를 설치하고, 실제 소유자가 자신의 장치가 봇넷의 일원이 되었다는 사실을 모르는 상태에서 원격으로 그러한 장치를 제어할 수 있습니다.
취약한 장치의 네트워크로 구성된 봇넷은 여기서 주요 피해자가 아니라 단일 웹사이트나 온라인 서비스에 대한 조정된 공격을 수행하는 데 사용됩니다 – 이들이 DDoS 공격의 주요 피해자였습니다.
웹사이트와 온라인 서비스 플랫폼을 대상으로 한 DDoS 공격은 거짓 패킷, 수신 메시지 또는 연결 시작 요청의 형태일 수 있습니다. 이러한 공격은 대부분 경쟁자의 명성을 훼손하여 시장 점유율을 떨어뜨리려는 복수 공격, 정치적 반대자에 대한 공격, 또는 때때로 인권 운동 및 단체에 대한 사기 저하 전략으로 실행됩니다.
Amazon Web Services(AWS)는 2020년 2월 최근 DDoS 공격을 경험했습니다. 이름이 밝혀지지 않은 AWS의 주요 고객이 공격의 대상이 되어, 그들의 온라인 서비스가 3일 동안 영향을 받았습니다. 초당 2.3테라바이트에 달하는 트래픽 대역폭은 AWS의 방대한 대역폭 허용량을 아이들 장난처럼 보이게 만들었습니다.
지금까지 가장 인기 있는 봇넷인 Mirai는 2016년에 일련의 DDoS 공격의 중심이었습니다. 2016년 9월, 인터넷은 당시 가장 큰 규모의 DDoS 공격을 Mirai 봇넷을 통해 경험했으며, 트래픽은 사이버보안 분석가의 블로그를 타겟으로 620 Gbps의 대역폭으로 정점을 찍었습니다. 그 달 말에 DEFCON 모임에서 Mirai 코드의 일부가 공개된 후, 도메인 이름 서비스의 주요 제공업체인 Dyn을 타겟으로 한 훨씬 더 큰 규모의 공격이 발생했습니다.
Dyn은 Mirai 공격 당시 Netflix, GitHub, PayPal, Reddit, Airbnb, HBO와 같은 웹사이트의 DNS 제공업체였습니다. Dyn의 웹사이트 네트워크에 대한 초당 1.5 기가비트 DDoS 공격은 공격이 지속되는 동안 그들의 서비스를 응답하지 않게 만들었습니다. 2016년에는 CCTV 카메라, 커피 제조기, 심지어 아기 모니터 카메라와 같은 IoT 장치가 해킹된 것을 포함한 여러 다른 Mirai 공격이 있었습니다.
DDoS 공격 유형
DDoS 공격에는 여러 종류가 있습니다. 아래에서 몇 가지를 살펴보겠습니다:
제로데이 DDoS: 제로데이 DDoS는 다크 웹에 호스팅된 비밀 웹사이트에서 해커들이 사용하는 용어입니다. 이 용어는 판매를 위해 올라온 일련의 소스 코드와 모집된 봇넷 군단을 의미하며, 아직 보안 패치가 발표되지 않은 취약성 수준을 나타냅니다.
핑 오브 데스: 이 공격은 공격자가 조작된 핑 패킷을 네트워크 노드에 여러 개 보내는 것을 포함합니다. 로컬 장치(스위치 및 라우터)를 처리하는 장치는 초당 허용되는 패킷 길이의 한계가 있습니다. 따라서, 긴 패킷은 종종 분할되어 수신 호스트에 의해 재조립됩니다. IP 패킷의 평균 데이터 길이는 약 1700바이트입니다; 그러나, 해커들은 수신 측에서 재조립될 때 최대 71,423바이트의 데이터 크기를 가진 핑을 전송하여 핑 오브 데스를 실행하려고 합니다. 이러한 유형의 DDoS 공격은 서버의 메모리를 효과적으로 소진시키고, 공격이 지속되는 동안 합법적인 쿼리에 응답할 수 없게 만듭니다.
UDP 플러드 공격; 이는 사용자 데이터그램 프로토콜(UDP) 데이터 클래스의 지속적인 스트림으로 피해자를 공격하는 DDoS 공격 유형입니다. 이 공격 유형에서는 원격 호스트가 무작위 포트에 반복적으로 연결 요청으로 범람합니다. UDP 플러딩과 유사한 것은 ICMP(핑) 플러드로, 연결에 대한 피드백을 기다리지 않고 빠르고 무작위적인 핑 패킷을 보냅니다. 패킷 범람은 호스트의 자원과 대역폭을 소모시키고 때로는 합법적인 연결 쿼리가 이루어질 때 악수를 설정하는 것이 불가능하게 만듭니다.
SYN Flood 공격: 이 유형의 공격은 TCP 연결의 취약점, 즉 세 단계 핸드셰이크를 악용합니다. 세 단계 핸드셰이크는 원격 컴퓨터가 서버에 연결 요청을 보내고, 서버가 요청을 인정하는 응답을 보내며, 원격 컴퓨터도 연결 시작 패킷을 보내며 인정 응답을 해야 합니다. 해커들이 이 채널을 통해 DDoS 공격을 실행하는 방법은 봇넷을 사용하여 단일 호스트에 여러 SYN 연결 요청을 보내는 것입니다. 서버는 각 노드에 ACK 메시지로 응답하지만, 해커들은 봇넷이 응답하는 것을 방지합니다. ACK 메시지에 대한 응답이 없으면 공격받은 서버가 멈춰 서고, 모든 피해자의 자원이 소진될 때까지 더 많은 핸드셰이크 요청이 전송됩니다.
HTTP 플러드 공격: 이 공격은 웹사이트나 서버로 오고 가는 패킷의 GET 및 POST 활동을 위해 의도된 합법적인 요청을 악용합니다. 공격은 일반적으로 원격 서버를 속여 가짜 요청에 최대 자원을 할당하도록 합니다.
DDoS 공격에 대한 예방 조치
앞서 강조된 바와 같이, DDoS 공격은 두 단계로 실행됩니다. 봇넷을 구성하는 노드를 모집하고, 피해자의 네트워크를 엄청난 트래픽으로 범람시킵니다. 가정용 인터넷 네트워크를 사용하는 일반 사용자들은 아래의 단계를 따라 개인 기기의 모든 취약점을 제거함으로써 봇넷 공격에 참여하는 것을 방지할 수 있습니다:
1. 새 기기에서 비밀번호 변경하기:
라우터, 스위치, Wi-Fi 허브 및 IoT 장치와 같은 네트워크 하드웨어는 기본 비밀번호가 설정되어 있습니다. 기본 비밀번호를 변경하는 것은 합리적입니다. 이 조치는 귀하의 장치와 그 네트워크에 연결된 모든 다른 장치를 해킹으로부터 한 단계 멀어지게 합니다. 사용자 설명서나 제조사 웹사이트를 살펴보면 장치 비밀번호를 변경하는 쉬운 단계를 찾을 수 있어야 합니다.
2. 최신이고 신뢰할 수 있는 보안 자원을 사용하세요:
펌웨어, 방화벽, 운영 체제의 업데이트는 네트워크 장치에 악성 소프트웨어가 침투하는 것을 막는 첫 번째 보호막이 될 것입니다.
조직의 네트워크 인프라가 DDoS 공격을 받고 있다고 판단되는 경우, 다음과 같은 조치를 취하면 다운타임과 그로 인한 손실을 최소화할 수 있습니다.
3. 트래픽의 급격한 증가를 식별하는 게이트웨이 기술을 활용하십시오
DDoS 공격은 충분히 일찍 감지되면 쉽게 제어할 수 있으며, 이는 회사의 ISP에 연락할 충분한 시간을 제공합니다. 그러면 ISP는 최고의 DDoS 해소 기술을 구현할 수 있습니다. ISP는 사용 가능한 대역폭이 있는 서버로 트래픽을 분산시키거나 트래픽을 싱크홀 또는 블랙홀로 라우팅함으로써 DDoS 공격의 영향을 중지하거나 최소화할 수 있습니다. 그러나 블랙홀이 더 효과적이며, 공격받은 IP 주소로 가는 모든 트래픽, 합법적인 것과 불법적인 것 모두 ‘null 인터페이스’ 구멍으로 보내집니다. 반면에 싱크홀은 데이터 패킷을 필터링하려고 시도합니다.
4. 네트워크 리소스의 백엔드 재구성
스위치 및 라우터와 같은 하드웨어에서 허용되는 대역폭의 양을 제한할 수 있으며, 이는 방화벽에도 동일하게 적용됩니다. 트래픽 제한을 통해 DDoS 공격에 특유한 엄청난 대역폭의 트래픽은 차단되고, 정상적인 특성을 가진 패킷들은 로컬 네트워크로 허용됩니다.
5. IoT 기기를 안전하게 보호하세요
커피 제조 기계의 취약점이 카지노의 네트워크 인프라를 해킹하는 데 이용되었다고 알려졌습니다. IoT 기기에 대해 이전에 제공된 조언은 강조할 가치가 있습니다 – IoT 기기를 박스에서 꺼내자마자 기본 비밀번호를 변경하고, 기기 펌웨어를 정기적으로 업데이트하려고 노력하세요.
결론
DDoS 공격은 어렵고 복잡해 보일 수 있지만, 이제는 그렇지 않습니다. 이 글을 통해 DDoS 공격에 대해 새롭게 알게 되었거나 지식을 업데이트했다면, ISP가 귀하의 웹사이트를 보호할 수 있는 능력을 알아보는 것이 ISP를 선택할 때 확인해야 할 목록에 포함되어야 합니다.