DDoSer는 상상할 수 없는 규모의 공격을 전달하기 위해 강력하고 새로운 방법을 사용하고 있습니다.

-


DDoSer는 상상할 수 없는 규모의 공격을 전달하기 위해 강력하고 새로운 방법을 사용하고 있습니다.

지난 8월, 학계 연구원들은 사이트를 오프라인 상태로 만드는 강력한 새 방법을 발견했습니다. 한 때는 상상도 할 수 없는 크기로 대량의 정크 데이터를 증폭할 수 있는 100,000개 이상의 잘못 구성된 서버 집합입니다. 대부분의 경우 이러한 공격은 무한 라우팅 루프를 생성하여 지속적인 트래픽 플러드를 유발할 수 있습니다. 현재 콘텐츠 전송 네트워크인 Akamai는 공격자들이 은행, 여행, 게임, 미디어, 웹 호스팅 산업의 사이트를 표적으로 서버를 악용하고 있다고 밝혔습니다.

미들박스라고 하는 이러한 서버는 제한된 콘텐츠를 검열하기 위해 중국과 같은 국가에서 배포하고 포르노, 도박 및 불법 복제 다운로드를 추진하는 사이트를 차단하기 위해 대규모 조직에서 배포합니다. 서버가 팔로우하지 않음 전송 제어 프로토콜 요구하는 사양 3자 악수– 연결이 설정되기 전에 클라이언트가 보낸 SYN 패킷, 서버의 SYN+ACK 응답, 클라이언트의 확인 ACK 패킷으로 구성됩니다.

이 핸드셰이크는 공격자가 대상의 IP 주소를 스푸핑하는 것이 아니라 게임 회사 또는 다른 대상에서 ACK 확인을 받아야 하므로 TCP 기반 앱이 증폭기로 남용되는 것을 제한합니다. 그러나 미들박스가 클라이언트에서 전달된 패킷을 모니터링할 수 있지만 검열되거나 차단되는 최종 목적지는 모니터링할 수 없는 비대칭 라우팅을 처리해야 하는 경우 이러한 서버는 설계상 요구 사항을 생략합니다.

숨겨진 무기고

지난 8월 메릴랜드 대학과 콜로라도 대학 볼더의 연구원들은 출판된 연구 지금까지 본 것 중 가장 치명적인 분산 서비스 거부 공격을 전달할 수 있는 잠재력을 가진 수십만 개의 미들박스가 있음을 보여줍니다.

수십 년 동안 사람들은 DDoSe를 사용하여 사이트에서 처리할 수 있는 것보다 더 많은 트래픽이나 계산 요청으로 사이트를 범람하여 합법적인 사용자에 대한 서비스를 거부했습니다. DDoSe는 피자 가게에 처리할 전화선보다 더 많은 전화를 피자 가게에 보내는 오래된 장난과 비슷합니다.

피해를 최대화하고 자원을 보존하기 위해 DDoSer는 종종 증폭 벡터를 통해 공격의 화력을 높입니다. 증폭은 대상의 IP 주소를 스푸핑하고 도메인 이름 확인, 컴퓨터 시계 동기화 또는 데이터베이스 캐싱 속도 향상에 사용되는 잘못 구성된 서버에서 비교적 적은 양의 데이터를 수신 거부하는 방식으로 작동합니다. 서버가 자동으로 보내는 응답이 요청보다 수십 배, 수백 배, 수천 배 크기 때문에 응답이 스푸핑된 대상을 압도합니다.

연구원들은 식별한 미들박스 중 최소 100,000개가 DNS 서버(약 54x) 및 네트워크 시간 프로토콜 서버(약 556x)의 증폭 계수를 초과했다고 말했습니다. 연구원들은 트래픽 볼륨을 51,000배까지 증가시킬 수 있는 웹사이트 속도를 높이는 데이터베이스 캐싱 시스템인 memcached를 사용하여 잘못 구성된 서버보다 더 높은 배율로 트래픽을 증폭시키는 수백 대의 서버를 식별했다고 말했습니다.

다음은 공격의 작동 방식을 보여주는 두 가지 그림입니다.

Bock et al.

심판의 날

연구원들은 당시 미들박스 DDoS 증폭 공격이 야생에서 활발히 사용되었다는 증거가 없었지만 그렇게 되는 것은 시간 문제일 것이라고 예상했습니다.

화요일에 Akamai 연구원들은 보고 그날이 왔다. Akamai 연구원들은 지난 주에 학계 연구원들이 예측한 대로 미들박스를 사용하는 여러 DDoSe를 탐지했다고 밝혔습니다. 공격은 11Gbps 및 초당 150만 패킷으로 최고조에 달했습니다.

에 비해 작지만 가장 큰 DDoSe두 팀의 연구원은 DDoSer가 공격을 최적화하고 남용될 수 있는 더 많은 미들박스를 식별하기 시작함에 따라 공격이 더 커질 것으로 예상합니다(학술 연구원은 남용을 방지하기 위해 해당 데이터를 공개하지 않았습니다).

지난 8월 연구의 수석 연구원인 케빈 복(Kevin Bock)은 연구 논문DDoSers는 그의 팀이 이론화한 공격을 재현할 수 있는 충분한 인센티브를 가지고 있다고 말했습니다.

“불행하게도 우리는 놀라지 않았습니다.”라고 그는 적극적인 공격에 대해 알게 되자 말했습니다. “우리는 이러한 공격이 쉽고 매우 효과적이기 때문에 이러한 공격이 야생에서 수행되는 것은 시간 문제일 것이라고 예상했습니다. 아마도 가장 최악의 공격은 새로운 공격일 것입니다. 그 결과 많은 사업자들이 아직 방어 시설을 갖추지 못하고 있어 공격자들에게 훨씬 더 매력적입니다.”

미들박스 중 하나는 33바이트 페이로드가 포함된 SYN 패킷을 수신하고 2,156바이트 응답으로 응답했습니다.

아카마이

이는 65배의 요인으로 해석되지만 증폭은 더 많은 작업을 통해 훨씬 더 커질 가능성이 있습니다.

Akamai 연구원은 다음과 같이 썼습니다.

이전에 볼류메트릭 TCP 공격을 수행하려면 공격자가 많은 기계와 많은 대역폭에 액세스할 수 있어야 했습니다. 일반적으로 고대역폭 연결 및 소스 스푸핑 기능 또는 봇넷이 있는 매우 강력한 기계를 위해 예약된 영역이었습니다. 이것은 지금까지 TCP 프로토콜에 대한 중요한 증폭 공격이 없었기 때문입니다. 소량의 증폭이 가능했지만 UDP 대안과 비교할 때 거의 무시할 수 있거나 최소한 하위 수준이고 비효율적인 것으로 간주되었습니다.

볼륨 공격과 SYN 플러드를 결합하려면 일반적으로 패딩된 SYN 패킷 형태로 1:1 비율의 대역폭을 피해자에게 푸시해야 합니다. 미들박스 증폭의 도래로 TCP 공격에 대한 이러한 오랜 이해는 더 이상 사실이 아닙니다. 이제 공격자는 체적 관점에서 대역폭의 1/75만큼(일부 경우) 필요하며 일부 미들박스 구현의 단점으로 인해 공격자는 SYN, ACK 또는 PSH+ACK 플러드를 무료로 받습니다.



Source_link

관련 기사