공격 근원지 파악하기 힘든 DRDoS 공격
일반 디도스 공격보다 훨씬 강력해

지난해 12월 22일, 10대 청소년들이 게임사에 사이버공격을 감행했다 덜미를 잡혔다. 청소년들은 공격을 위해 DRDoS(Distributed Reflective Denial of Service) 라는 기존 디도스(DDoS) 공격보다 한층 진화된 기법을 사용했다. DRDoS는 이름 그대로 ‘분산 반사 서비스 거부 공격’이다.

지난해 8월에는 P2P 파일 공유 사이트인 비트토렌트(BitTorrent) 취약점을 이용해 DRDoS 공격이 가능하다는 소식이 전해졌다. 또한 지난 2014년 2월에 유럽 전역에 대대적으로 발생한 대규모 디도스 공격도 이와 같은 DRDoS 공격의 일종으로 밝혀진 바 있다.

DRDoS 공격은 공격자가 출발지 IP 주소를 공격 대상의 IP 주소로 위조해 정상적인 서비스를 제공하는 서버들에게 요청을 보내고, 그 응답을 공격 대상이 받게 되는 원리다. 여기에는 SYN 패킷이나 ICMP 패킷, DNS 쿼리 등 응답을 받을 수 있는 패킷이 이용된다.
 

▲DRDoS 공격방식(출처: 한국인터넷진흥원)

TCP 3-way handshake 방식을 예로 들어보자. 공격자가 출발지 IP 주소를 공격 대상의 IP 주소로 위조해 SYN 패킷을 다수의 정상 TCP서버나 라우터로 전송하면, 이들이 응답하는 SYN/ACK 패킷을 공격 대상이 받아 서비스 거부 상태가 되는 것이다.

한국인터넷진흥원(KISA)의 ‘DDoS 공격 대응 가이드’에 의하면 이러한 DRDoS 공격은 출발지 IP 주소를 변조하고 공격 트래픽이 수많은 반사서버를 경유하기 때문에 공격의 근원지를 파악해 역추적하는 것이 거의 불가능하다.

또한, DRDoS에 사용되는 반사 서버는 자신이 보낸 패킷에 의한 응답이 없을 경우 패킷을 재전송할 수 있기 때문에 공격자가 전송하는 패킷보다 몇 배 더 많은 패킷이 공격대상 서버에 전송될 수 있다. 일반 디도스 공격에 비해 적은 수의 좀비PC로도 공격 트래픽 양을 증가시킬 수 있다는 것.

패킷의 양만 문제가 아니다. 패킷 자체의 크기도 증폭이 될 수 있다. 한국인터넷진흥원 침해사고분석단 이동근 종합분석팀장은 “DRDoS가 무서운 이유는 증폭이 된다는 점이다. 특정 프로토콜의 경우 30바이트의 패킷을 보내면 응답과 관련한 추가 정보들이 덧붙여져 100바이트의 응답 패킷을 받게될 수도 있기 때문”이라고 전했다.

출처 : https://www.boannews.com/media/view.asp?idx=49145