예, 네트워크 트래픽을 주의 깊게 모니터링하고 잠재적인 플러드를 나타내는 비정상적인 패턴을 인식하면 조기에 탐지할 수 있습니다.
WS-Discovery 플러드 공격은 공격의 강도를 크게 증폭하기 위해 WS-Discovery 프로토콜을 사용하는 DDoS 반사 공격입니다. 공격자는 서버, 웹사이트, 네트워크 또는 기타 머신에 트래픽을 과부하시켜 속도가 느려지거나 다운될 정도로 WS-Discovery 플러드를 실행합니다. 공격자는 WS-Discovery 플러드 에 사용되는 것과 같은 증폭 기술을 통해 적은 노력과 리소스로 대규모 공격을 일으킬 수 있습니다.
DDoS 공격이라는 용어의 의미는 무엇일까요?
DDoS 반사 공격이란 무엇일까요?
반사 공격의 공격자는 패킷 요청을 전송해 다른 서버를 쿼리할 때 의도된 피해자나 표적 서버의 IP 주소를 사용해 대상 IP 주소를 스푸핑합니다. 쿼리된 시스템이 패킷 요청에 응답하면 응답은 공격자가 아닌 피해자의 머신으로 전송됩니다. 이 기법을 사용하면 DDoS 트래픽을 표적에 직접 전송하지 않고 다른 머신을 통해 ‘반사’할 수 있습니다.
공격자는 공격 효과를 증폭하기 위해 최초 요청보다 훨씬 더 큰 응답을 제공하는 머신에서 트래픽을 반사하려 합니다. 이러한 증폭 공격에서 공격자는 상대적으로 적은 수의 초기 패킷을 사용하고, 적은 리소스로도 대량의 데이터가 포함된 대규모 트래픽을 생성해 표적 머신을 더 쉽고 빠르게 압도할 수 있습니다.
WS-Discovery란 무엇일까요?
WS-Discovery 또는 WSD(Web Services Dynamic Discovery)는 로컬 네트워크에서 디바이스 검색을 위해 설계된 멀티캐스트 통신 프로토콜입니다. WS-Discovery는 인터넷 통신을 위한 핵심 전송 프로토콜 중 하나인 UDP(User Datagram Protocol)를 사용하지만 TCP(Transmission Control Protocol)를 활용할 수도 있습니다. IP 카메라, DVR, 스피커 등 WSD 지원 디바이스는 비콘을 방출해 디바이스 간 검색과 연결을 용이하게 합니다. 예를 들어, DVR은 WSD 프로토콜을 사용해 통신 가능한 주변의 IP 카메라를 검색할 수 있습니다. 널리 알려진 프로토콜은 아니지만, 네트워크 제품의 상호 운용성을 높이기 위해 표준화된 인터페이스를 장려하는 단체인 ONVIF에서 WS-Discovery를 도입했습니다. 그 결과 현재 전 세계 수십만 개의 제품에 WSD 프로토콜이 탑재되었습니다.
WSD 프로토콜은 처음에 LAN(Local Area Network)에만 제한적으로 적용될 예정이었습니다. 제조업체들이 WSD 서비스를 통합한 하드웨어를 생산하고 사용자들이 인터넷을 통해 하드웨어를 배포하면서 공격자들은 DDoS를 반사할 수 있는 새로운 공격 기법을 발견했습니다.
WS-Discovery 플러드는 어떻게 작동하나요?
WS-Discovery 반사 DDoS 공격은 UDP·TCP 프로토콜의 취약점을 악용합니다. UDP는 상태 비저장 프로토콜이기 때문에 공격자가 다른 디바이스로 요청을 보낼 때 IP 주소를 스푸핑하거나 위조하기 쉽습니다. 이를 통해 공격자는 WS-Discovery 디바이스에서 DDoS 공격 표적으로 대규모 트래픽을 보낼 수 있습니다. TCP는 연결 또는 상태 저장 중심의 프로토콜이지만, IP 스푸핑 및 WSD 공격의 일부로 활용될 수도 있습니다.
WS-Discovery 플러드 공격이 강력한 이유는 WSD 응답이 초기 요청보다 훨씬 더 크기 때문입니다. WS-Discovery 디바이스로 전송되는 작은 초기 패킷이 75~150배 더 큰 응답을 생성할 수 있습니다. 몇몇 공격은 심지어 300배와 500배의 증폭률을 보였습니다. 이는 평균 증폭 계수가 10인 다른 UDP 프로토콜 공격보다 훨씬 더 큰 수치입니다.
WS-Discovery 플러드 DDoS 공격은 탐지하기도 어렵습니다. 이 프로토콜은 무작위로 높은 포트와 고유한 데이터 페이로드로 응답하기 때문에 공격을 인식하고 방어하기 어렵습니다. 또한 증폭 및 반사의 크기로 인해, 공격이 오리진 시스템이나 서비스를 표적으로 삼을 때는 이미 인터넷 업링크가 포화 상태이므로 탐지하고 방어하는 능력을 잃게 됩니다.
자주 묻는 질문(FAQ)
보안팀은 WS-Discovery 반사 공격을 방어하기 위해 다양한 보안 기능을 구축할 수 있습니다.
- UDP 포트 3702에서 트래픽 차단. 보안팀은 게이트웨이 디바이스 및 방화벽에서 UDP 소스 포트 3702를 차단해 WSD 트래픽을 막을 수 있습니다. 그러나 이 접근 방식은 트래픽이 라우터의 대역폭을 소비하는 것을 방지할 수 없기 때문에 추가적인 클라우드 방어 접근 방식을 사용하는 것이 좋습니다.
- IP 필터링. 보안팀은 IP 필터링 기술을 배포해 허용되지 않은 IP 주소의 요청을 거부할 수 있습니다.
- DDoS 방어 서비스. Akamai와 같은 선도적인 사이버 보안 서비스 공급업체의 클라우드 DDoS 방어 서비스를 배포하는 것은 DDoS 및 증폭 공격을 차단하는 가장 효과적인 방법 중 하나입니다.
WS-Discovery 플러드가 매일 발생하는 것은 아니지만, 주의가 필요할 만큼 중요한 문제입니다. 발생 빈도를 이해하면 네트워크 보안을 위한 선제적 전략을 수립하는 데 도움이 됩니다.
완전히 안전한 네트워크는 없지만, 선제적으로 보안 조치를 취하면 WS-Discovery 플러드의 취약점을 크게 줄일 수 있습니다.
WS-Discovery 플러드와 관련된 리스크는 네트워크 중단부터 잠재적인 데이터 유출로 이어지는 기타 다중 기법 공격에 이르기까지 매우 다양하므로 심각한 보안 문제가 됩니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업으로, 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층 방어 기능을 제공한다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공한다. 글로벌 기업들은 비즈니스 성장에 필요한 업계 최고의 안정성, 확장성, 전문성을 제공하는 Akamai를 믿고 신뢰한다.