DDoS 차트 상위 항목 — BPS, PPS, RPS 최대 히트

초당 요청 수 기록?

마지막으로, 웹 및/또는 애플리케이션 서버를 노리는 레이어 7(애플리케이션 레이어) DDoS 공격 또는 rps가 있으며 대부분 HTTP 플러드를 이용합니다. 일반적인 비즈니스 정의에 따르면 볼륨이 지속적으로 높고, 공격 트래픽이 엣지에서 자동으로 투입되는 공격입니다. Akamai 플랫폼은 정상적인 트래픽을 관리할 수 있는 충분한 용량을 갖추고 있습니다. rps는 강도를 측정하는 데 매우 좋은 지표지만 가볍게 사용하지 않겠습니다.

즉, 최근 놀라운 rps 이벤트가 있었습니다.

• 1억 rps로 Akamai 기록이 수립됐습니다.

왜 보고하지 않았을까요? 2200만 rps는 큰 것처럼 보일 수 있지만, Akamai에서는 하루 평균 이보다 3배 이상 많은 양을 처리하며 최대치도 8배 더 높습니다. Akamai의 엣지 플랫폼이 고객 이벤트, 트래픽 증가, 대규모 공격을 처리할 수 있는 충분한 여유 공간을 갖추고 있으므로 "평소와 같은 공격"은 블로그에서 소개할 가치가 없습니다.

Akamai가 직접 확인한 최근의 공격 중 가장 큰 것은 약 500만 rps였으며 고객 이벤트(소프트 상품 출시)를 공격한 악성 봇 활동과 관련된 것이었습니다. 이는 정상적인 고객 활동으로 인한 정상적인 트래픽 부하와 급증에 비해 높은 것입니다.

웹 서버 및 애플리케이션을 대상으로 하는 봇넷 Mēris의 주목할 만한 점은 세계에서 가장 큰 CDN 또는 클라우드 기반 DDoS 제공업체에서 아직 볼 수 없다는 것입니다(즉 Akamai).  

Mēris는 특정 타겟이나 공급업체를 선택합니까? Akamai도 공격받을 수 있습니까?  

특별한 봇넷 Mēris

보고된 바에 따르면 Mēris는 2018년 패치되지 않은 취약점에서 발생한 250,000개 이상의 손상된 MikroTik 라우터를 확보했습니다. 공격자가 디바이스에 접속하면 라우터를 재구성해 봇넷에 포함시키고 봇넷을 키웁니다. 라우터는 대규모 대역폭을 상호 연결하고 막대한 양의 패킷을 이동하도록 설계되었기 때문에 Mēris는 매우 많은 양의 초당 패킷 수(pps)를 생성한 다음 트랜잭션을 만들어 대규모 초당 트랜잭션 수(tps)나 초당 요청 수(rps)를 발생시킬 수 있습니다. Mēris는 최신 공격 경로를 통해 레이어 7 애플리케이션 및 서비스를 공격하도록 설계되었습니다 이를 위해 HTTP 파이프라이닝과 보고서에서 지적된 바와 같이고대역폭 이더넷 연결 디바이스를 활용해 용량을 늘립니다.

업계에서는 감염된 MikroTik 라우터를 찾아내어 정상화하기 위해 노력했지만 빨리 처리할 수 없었습니다. 패치 및 펌웨어 업데이트만으로는 디바이스를 보호할 수 없습니다. 비밀번호가 2018년부터 이미 악용되어 사용자가 비밀번호를 변경해야 할 뿐만 아니라 방화벽 규칙을 다시 확인해 알 수 없는 사용자에게 원격 접속이 제공되지 않도록 해야 하기 때문입니다. 사용자는 자신이 만들지 않은 스크립트도 찾아야 합니다. 상황이 이렇게 때문에 Mēris 봇넷이 다시 나타날 것입니다.

Akamai에서는 Mēris 봇넷 공격을 직접 경험하지는 못했지만 공격자들이 프록시로 사용하는 감염된 MikroTik 디바이스에서 시작된 DDoS 공격을 방어했습니다. 2018년 취약점이 고객 인프라를 공격하기 위해 여러 가지 악의적인 방법으로 사용되고 있는 것은 분명합니다.

IoT으로 봇넷이 더욱 강화되고 있습니다

공격자가 자유롭게 활용할 수 있는 대역폭이 늘어남에 따라 방어해야 할 대규모 공격이 점점 더 많아지고 있습니다. 앞서 언급한 바와 같이 2020년 여름에 Prolexic 플랫폼을 노린 1.44Tbps와 809Mpps 공격이 관측됐고 글로벌 DDoS 협박의 전조가 됐습니다. 

다양한 DDoS 협박 캠페인에서 공격자들은 전술, 기법, 절차(TTP)를 발전시키고 더욱 강력한 DDoS 무기를 사용하고 있습니다. 예를 들어 협박 공격의 첫 번째 웨이브는 평균 200Gbps였지만 3번째 웨이브는 800Gbps가 넘었습니다. 사실 최근 공격 캠페인에서 공격자는 1분도 안 되어 0에서 600Gbps 이상의 대역폭을 만들었습니다.  

공격자들이 DDoS 부터와 스트레서를 손쉽게 사용할 있는 것이 분명합니다. 많은 경우 무료로 다운로드할 수 있고, YouTube에 사용법이 있으며, 대역폭도 막대하게 차지합니다. 일반적인 가정 인터넷 속도가 1Gbps에 이르고 엣지 컴퓨팅 엔드포인트가 급증하면서 손상된 사물 인터넷(IoT) 디바이스가 DDoS 증폭 및 반사 기술과 결합되어 강력한 파괴력을 갖게 될 것입니다. 

이러한 역학은 봇넷 운영자가 작성한 초강력 rps 역량 면에서 Mēris에 대해 잘 알려진 내용과 일치합니다. 

복잡하지 않지만 역량을 압도하는 용량

Akamai는 때로 인지하지도 못한 공격을 막아낼 수 있었습니다. 용량과 네트워크에 투자해 직접 경험한 것은 물론 보고된 최대 공격의 규모보다 몇 배 더 크게 확대했기 때문입니다.  

모든 측정값(bps, pps, rps, qps)은 로그 단위입니다. 

최신 DDoS 공격에 대응하는 데 단순히 규모만 중요한 것이 아닙니다. 가장 복잡하고 집중적인 공격을 방어하기 위해서는 올바로 인간이 개입해 가장 높은 수준의 완화 조치를 취해야 합니다. 보안 운영 관리 센터(SOCC)의 전문가 225명은 수십 년 동안 가장 정교한 공격을 방어해 리스크가 높고 복잡한 공격면을 보호하는 전문 기술을 개발했습니다. DDoS 탐지 및 방어 기능에 자동화가 중요하지만, 한 가지 솔루션으로 모든 것을 방어하는 방식은 오늘날의 공격자 TTP를 능가할 수 없습니다. 가용성이 높고 숙련된 SOCC 전문가를 활용해 이벤트를 검토하고, 대응책을 사용자 정의하고, 예외 문제를 해결하는 것은 쉽게 따라할 수 없는 업계 최고의 DDoS 방어 역량입니다. 

Akamai 고객을 위한 권장 사항

보호 중인 자산의 종류에 따라 완화 모드에서 다음 권장 사항이 Mēris 및 기타 DDoS 공격 생성 봇넷을 막는 데 도움이 될 것입니다.

애플리케이션 및 API

• 속도 제어 구성을 검토해 임계값이 적절한 수준으로 설정되었는지 확인합니다 

• 클라이언트 평판을 통해 Akamai 위협 인텔리전스를 활용해 공격자들이 자산을 공격하기 전에도 DDoS 공격에 참여하는 알려진 악성 클라이언트를 차단합니다

• WAF 및 Bot Manager 솔루션을 적절히 설정해 공격에 사용되는 자동화 및 툴링을 탐지합니다

• 캐싱 규칙을 검토해 애플리케이션 부하 분산을 개선하고 공격 발생 시 불필요한 요청을 방지합니다

하이브리드 클라우드 오리진 인프라

• 인터넷 대면 자산을 Prolexic DDoS 방어 플랫폼으로 라우팅해 리스크를 줄입니다

• 사전 구성된 완화 조치를 구현해 공격면을 줄이고 0초 완화 SLA를 활용합니다

• Akamai Edge DNS를 사용해 DDoS 공격으로부터 고객의 DNS를 보호해야 합니다. 이 점은 네트워크 방어자가 간과하기도 합니다

모든 매니지드 보안 고객은 Runbook 및 Akamai SOCC 공인 연락처는 물론 사고 대응 계획이 최신 상태인지 확인해야 합니다.

DDoS 공격 또는 협박 위협을 받고 있는 경우 Akamai DDoS 핫라인(1-877-425-2624)에문의해 즉시 도움을 받으세요. 더불어 협박 이메일을 받는다면 현지 사법 기관에 문의하세요. 사법 기관이 정보를 많이 확보하면 범죄자를 막을 가능성도 높아집니다.