UDP 기반 증폭 공격
1. 시스템 영향
UDP(사용자 데이터그램 프로토콜)에 의존하는 특정 애플리케이션 계층 프로토콜은 잠재적인 공격 벡터로 식별되었습니다. 여기에는 다음이 포함됩니다:
도메인 이름 시스템,
NTP(Network Time Protocol)
CLDAP(Connectionless Lightweight Directory Access Protocol),
문자 생성 프로토콜(CharGEN)
단순 서비스 검색 프로토콜,
BitTorrent,
단순 네트워크 관리 프로토콜 버전 2(SNMPv2)
Kad,
포트 매핑/원격 프로시저 호출(RPC),
오늘의 명언(QOTD)
멀티캐스트 도메인 이름 시스템(mDNS),
p>
네트워크 기본 입출력 시스템(NetBIOS)
Quake 네트워크 프로토콜,
스트리밍 프로토콜,
라우팅 정보 프로토콜 버전 1(RIPv1)
LDAP(Lightweight Directory Access Protocol),
TFTP(Trivial File Transfer Protocol),
Memcached,
및 웹 서비스 동적 검색(WS-Discovery).
2. 개요
DRDoS(Distributed Reflected Denial of Service)는 공개적으로 액세스할 수 있는 UDP 서버 및 대역폭 증폭 요소(BAF)를 사용하는 DDoS(분산 서비스 거부) 공격의 한 형태입니다. ) UDP 트래픽으로 피해자의 시스템을 넘치게 합니다.
3. 설명
의도적으로 UDP는 소스 인터넷 프로토콜(IP) 주소를 확인하지 않는 비연결 프로토콜입니다. 응용 프로그램 계층 프로토콜이 VoIP(Voice over Internet Protocol)의 세션 시작과 같은 대책을 사용하지 않는 한 공격자는 임의의 소스 IP 주소를 포함하도록 IP 패킷 데이터그램(패킷 교환 네트워크와 관련된 기본 전송 단위)을 쉽게 위조할 수 있습니다. 많은 UDP 패킷의 소스 IP 주소가 피해자의 IP 주소로 스푸핑되면 대상 서버(또는 증폭기)가 (공격자 대신) 피해자에게 응답하여 반사 서비스 거부(DoS) 공격을 생성합니다.
UDP 프로토콜의 특정 명령은 초기 요청보다 훨씬 큰 응답을 트리거할 수 있습니다. 이전에는 공격자가 대상으로 직접 전송되는 선형 패킷 수에 따라 DoS 공격을 수행하는 것이 제한되었습니다. 이제는 단일 패킷이 원래 대역폭의 10~100배를 생성할 수 있습니다. 이를 증폭 공격이라고 하며, 다수의 증폭기를 이용해 단일 피해자를 대상으로 하는 대규모 반사 DoS 공격과 결합하면 비교적 쉽게 DDoS 공격을 감행할 수 있다.
증폭 공격의 잠재적 효과는 BAF로 측정할 수 있으며, 이는 요청된 UDP 페이로드 바이트 수와 요청에 대한 응답으로 증폭기가 전송한 UDP 페이로드 바이트 수로 계산할 수 있습니다. .
다음은 알려진 프로토콜 및 관련 BAF 목록입니다. CISA는 이러한 정보를 제공해 주신 Christian Rossow에게 감사드립니다. BAF에 대한 자세한 내용은 Christian의 블로그 및 관련 연구 결과를 참조하시기 바랍니다.
2015년 3월, 소프트웨어 공학 협회의 CERT 조정 센터는 DRDoS 공격에서 mDNS의 사용을 설명하는 취약점 노트 VU#550620을 발표했습니다. 공격자는 장치가 처리할 수 있는 것보다 더 많은 정보를 전송하여 mDNS를 악용하여 DoS 상태를 초래할 수 있습니다.
2015년 7월 Akamai Technologies의 PLXsert(Prolexic Security Engineering and Research Team)는 RIPv1을 사용한 DRDoS 공격이 급증했다는 위협 보고서를 발표했습니다. 악의적인 공격자는 특별히 설계된 요청 쿼리를 통해 DDoS 반사를 위해 RIPv1의 동작을 악용합니다.
2015년 8월, Level 3 Threat Research Laboratory에서는 portmap을 사용한 새로운 DRDoS 공격을 보고했습니다. 공격자는 포트맵 서비스의 동작을 악용하여 스푸핑 요청을 통해 피해자의 네트워크에 UDP 트래픽을 보냅니다.
2016년 10월 Corero Network Security는 LDAP 디렉터리 서비스 서버를 사용하여 고객을 공격하는 새로운 DDoS 증폭 공격을 보고했습니다.
2017년 11월 Netlab 360은 CLDAP가 현재 DNS 및 NTP 공격에 이어 세 번째로 흔한 DRDoS 공격이라고 보고했습니다.
2018년 2월 SENKI는 Memcached 기반 반사 DDoS 공격(UDP/TCP 포트 11211을 통해)이 증가하여 전례 없는 증폭 요인에 도달했다고 보고했습니다.
2019년 9월 Akamai는 WS-Discovery 프로토콜(TCP/UDP 포트 3702를 통해)을 활용한 DDoS 공격을 보고했습니다.
4. 영향
공격자는 이 경고에서 UDP 프로토콜을 제공하는 대규모 서버의 대역폭과 상대적 신뢰도를 악용하여 피해자에게 원치 않는 트래픽을 전달하고 DDoS 공격을 생성할 수 있습니다.
5. 솔루션
탐지
DRDoS 공격은 UDP 서비스를 제공하는 신뢰할 수 있는 대규모 서버를 사용하기 때문에 탐지가 쉽지 않습니다. 이러한 악용 가능한 서비스의 네트워크 운영자는 기존 DoS 완화 기술을 적용할 수 있습니다. DRDoS 공격을 탐지하려면 특정 IP 주소에 대한 비정상적으로 큰 응답을 관찰하십시오. 이는 공격자가 서비스를 사용하고 있음을 나타낼 수 있습니다.
DRDoS 공격 피해자가 이 활동을 감지하고 대응하기 위해 할 수 있는 몇 가지 작업이 있습니다.
1. 상위 명령 포트에 대한 대규모 UDP 패킷을 감지하고 경고합니다.
2. 비상태 저장 UDP 패킷을 감지하고 경고합니다. (아래는 간단한 Snort 예입니다. 이 접근 방식은 화이트리스트 및 알려진 서비스를 사용하여 각 환경에 맞게 맞춤화해야 합니다.
3. 업스트림 공급업체는 다운스트림 고객과의 연락처 정보 및 네트워크를 통해 경고를 보내는 방법을 업데이트해야 합니다.
일반적으로 인터넷 서비스 제공업체(ISP)의 네트워크 및 서버 관리자는 증폭기 노드가 되는 것을 방지하기 위해 다음 모범 사례를 채택해야 합니다.
1. 네트워크 흐름을 사용하여 스푸핑된 패킷을 탐지합니다. (스푸핑된 트래픽을 차단하기 전에 검증하는 방법에 대한 자세한 내용은 아래 완화 섹션을 참조하십시오.) 2. 네트워크 흐름 또는 기타 요약된 네트워크 데이터를 사용합니다. 위험한 UDP 서비스에 대한 비정상적인 요청 수를 모니터링합니다.
3. 네트워크 트래픽을 사용하여 다음을 수행합니다. 서비스 이상(예: 패킷당 바이트 및 초당 패킷)을 감지합니다. > 완화
다음 단계는 DRDoS 공격을 완화하는 데 도움이 될 수 있습니다.
1. 상태 저장 UDP 검사(예: 반사)를 사용합니다. 액세스 제어 목록)을 사용하여 국경 방화벽 또는 국경 라우터 영향에 대한 영향을 줄입니다. [13]
2. BGP(Border Gateway Protocol)를 사용하여 원격으로 실행되는 블랙홀을 생성합니다. 업스트림 공급자 또는 ISP [14]
3. 공격에 대한 대응을 조율하기 위해 주요 업스트림 공급업체의 비상 연락처 목록을 유지 관리해야 합니다.
일반적으로 ISP 네트워크 및 서버 관리자는 증폭기 노드가 되는 것을 방지하기 위해 다음 모범 사례를 사용해야 합니다.
1. 남용을 거부하거나 제한하기 위해 소프트웨어 및 구성을 정기적으로 업데이트합니다(예: DNS 응답 속도 제한).
2. 불필요한 서비스를 비활성화 및 제거하거나 인터넷을 통한 로컬 서비스에 대한 액세스를 거부합니다.
3. 트래픽 및 라우팅 장치에 QoS(서비스 품질)와 같은 UDP 프로토콜을 사용하여 네트워크 기반 속도를 지원하고 인터넷에서 제공되는 합법적인 서비스를 제한합니다.
4. 고객 공급업체 및 제조업체와 협력하여 안전한 구성 및 소프트웨어를 보장합니다.
인터넷 서비스 제공자로서 인터넷 리소스 남용을 방지하려면:
1. 수신 필터링을 사용하여 스푸핑된 패킷을 차단합니다(Spoofer Project [19] 및 IETF BCP 38 및 BCP 84 참조). 가이드).
2. 인터넷 리소스에 대한 반복적인 액세스가 남용되지 않도록 UDP 서비스 요청에 대한 트래픽 조정을 사용합니다.