2016년 10월 서비스 제공업체인 Dyn에 DDoS 공격이 심어졌습니다. 그것은 미국 동부 해안 전체의 인터넷 액세스를 마비시켰습니다. Dyn의 서버는 엄청난 양의 데이터 트래픽으로 공격을 받았고 데이터 전송 속도는 2Tbps의 속도로 기록되었습니다. 글쎄, 그 관찰은 충격적이며 그 당시에는 그러한 속도를 달성하기 어려웠습니다.
그러나 지난 주에는 1.7Tbps의 데이터 속도로 고도화된 DDoS 공격이 기록되었습니다. 공격의 영향은 이전에 심은 Dyn 공격보다 약 50% 더 컸습니다. 모든 웹사이트에 중단 시간을 줄 수 있는 이러한 대량 트래픽은 동일한 웹사이트에 동시에 액세스하기 위해 전체 리소스를 사용하는 680,000명의 인터넷 사용자로 제외됩니다.
DDoS 공격은 어떻게 그렇게 발전했습니까?
해커들이 웹 페이지 로딩 시간을 단축하기 위해 만들어진 소프트웨어인 Memcached를 이용하는 방법을 알아냈습니다. Memcached는 사용자가 다시 액세스하려는 데이터의 큰 덩어리를 캐시합니다. Memcached는 일반적으로 원격 서버에서 제공됩니다.
보안 전문가에 따르면 Memcached는 인터넷에 연결되어 있을 때 보호되지 않아야 합니다. 그러나 Rapid의 Project Sonar 웹 스캐너에 따르면 취약한 Memcached 장치가 140,000개 이상 있습니다. 공격자는 대상에 대한 서비스 거부 공격을 확대하기 위해 Memcached를 악용했습니다. 그들은 특히 쓰레기 데이터의 작은 덩어리를 Memcached로 보내 대상의 서버에 방대한 데이터를 넘치게 합니다. 해커는 Memcached를 사용할 때 공격 효과를 최대 51000배까지 높일 수 있습니다.
어떻게 막을 수 있습니까?
고급 DDoS 공격을 막는 방법을 연구하는 사이버 보안 전문가가 많이 있습니다. 국토안보부의 보안 전문가들은 진보된 강력한 DDoS 공격으로부터 미국 시민을 보호할 수 있는 효과적인 방법을 찾기 위해 노력하고 있습니다. Akamai 및 Alphabet과 같은 회사도 위협과의 전투에 참여했습니다. 또한 GitHub 웹 사이트가 최근 Memcached 기반 DDoS 공격에서 살아남았기 때문에 이 기술과 싸우는 데 놀라운 진전이 있었습니다. 웹사이트가 5분 동안 다운타임을 겪은 후 바로 가동되었습니다.
공격자는 가짜 UDP 프로토콜 패킷을 Memcached 서버로 전송했습니다. 이로 인해 대상 웹 사이트에 UDP 패킷이 급증했습니다. 보안 회사인 Corero는 공격 서버가 "flush all" 명령으로 플러시를 수행하도록 명령하는 킬 스위치를 내놓았습니다. 실제로 서버를 공격하는 폭발을 억제하기 위해 모든 데이터 패킷을 플러시합니다. 해결책은 실제 서버에서 테스트되었으며 Memcached 공격을 막는 데 100% 효과적인 것으로 입증되었습니다. 그러나 Memcached 버전 1.5.5는 해커가 악용할 수 있는 네트워크 메시지 볼륨에 대한 제어가 부족한 것으로 확인되었습니다. 따라서 UDP 프로토콜을 손상시키는 새로운 업데이트가 출시되었습니다. 이제 UDP 프로토콜을 명시적으로 활성화해야 합니다. 문제를 완화하려면 이 업데이트를 다운로드해야 합니다.
그러나 전 세계적으로 GitHub처럼 스스로를 방어하지 못하는 조직이 많이 있습니다. 이러한 화력으로 인해 공격자는 상당한 다운타임을 유발하고 금전적 피해를 입힐 수 있습니다.