포스팅 내용

국내외 보안동향

Github, 역사상 가장 큰 규모의 DDoS 공격을 받았다.

미국시간으로 2월 28일 오후 12시 15분, Github가 순간트래픽이 1.35 Tbps에 달하는 DDoS 공격을 받았습니다. 이는 지금까지 발생됬던 DDoS 공격들 중에서 가장 큰 규모의 DDOS 공격입니다. 


Github는 공격을 저지하려 노력했지만, 간헐적으로 사이트가 끊기는 현상이 발생하였습니다. 10분 내, Github는 DDoS 보안장비업체인 Akamai Technologies에 도움 요청을 하였으며, 8분 뒤 공격자는 공격을 철회하였습니다. 


이번 공격은 사이버 공격 규모가 점점 커지고 있다는 것을 나타냅니다. 작년에 DNS 서비스 업체인 Dyn이 받은 DDoS 공격과 비교해 볼 수 있는데, 당시 공격의 순간 트래픽은 1.2Tbps였습니다. 


Github가 공격 받은 후 Akamai의 Josh Shaul은 "우리는 장비를 설계할 때 지금까지 발생되었던 DDoS 공격의 5배로 설계하였기 때문에, 이번 공격을 막을 수 있다고 자신했다. 하지만 순간트래픽이 1.5Tbps 이상인 공격은 한번도 본 적이 없다."고 말했습니다. 



<이미지 출처 : https://www.wired.com/story/github-ddos-memcached/>



Akamai는 이번 공격에 대응하기 위하여 여러 방법을 사용하였는데, DDoS 장비 이외에 최근 새로이 개발한 memcached 서버 DDoS 공격에 대응하는 수단을 사용하였습니다. 


네트워크 속도를 향상시키는 memcached 서버는 원래 공용 네트워크에 공개되면 안됩니다. 왜냐하면 모든 사람들이 query를 날릴 수 있고, 그 query에 대한 모든 답을 memcached가 해주기 때문입니다. 하지만 현재, 네트워크상에 10만대가 넘는 기업과 중소형 memcached서버가 어떠한 보호장치가 되어있지 않은 채 노출되어 있습니다. 이는 즉, 공격자가 memcached를 이용하면 매우 규모가 큰 공격이 가능하게 되는것입니다. 


이번 공격이 다른 DDoS 공격(예를들어 Dyn과 OVH에 발생되었던)과 다른점은, memcached DDoS 공격은 봇넷이 필요하지 않다는 점입니다. 


공격자는 피해자의 IP와 매칭 되는 스푸핑 된 IP 주소를 사용해 타겟 Memcached 서버 포트 11211로 위조 된 요청을 보내는 방식을 사용합니다. 이러한 query는 가장 최대폭의 응답을 받을 수 있도록 설계됩니다. 그렇기 때문에 매 memcached시스템은 query에 대한 50배가 넘는 응답을 하게 됩니다. 


이러한 DDoS 공격 방식을 Amplification Attack 이라고 하는데, 이 방식의 공격은 최초가 아닙니다. 네트워크 업체들은 최근 몇주동안 memcached DDoS 공격이 점점 많이 발생하고 있다고 밝혔으며, 재빨리 모든 memcached서버에서 발생하는 패킷들을 차단했다고 밝혔습니다. 


Github은 블로그를 통해 “이 공격은 수 만개의 고유한 엔드포인트에서 수 천개의 서로 다른 ASN(autonomous systems - 자율 시스템)을 통해 발생했습니다. Memcached 기반 접근 방식을 사용했으며, 초당 1.269억 개 패킷을 이용해 1.35Tbps를 기록했습니다.”라고 밝혔습니다.


앞으로 더욱 강력한 DDoS 공격이 이루어질 것으로 예상 돼


증폭 공격은 새로운 것은 아니지만, 이 공격 벡터는 수 천대의 잘못 구성 된 Memcached 서버들을 사용하도록 발전 되었습니다. 이들 중 많은 서버들은 아직도 인터넷 상에 노출 되어 있으며, 또 다른 대규모 공격에 악용될 수 있습니다.


Memcached 서버가 악용 되는 것을 예방하기 위해서는 방화벽을 설치하거나 포트 11211로부터의 UDP를 차단하거나 속도를 제한하고, 사용하지 않을 경우 UDP 지원을 완전히 비활성화 해 두는 것을 고려해보는 것이 좋겠습니다.




출처 :

https://www.wired.com/story/github-ddos-memcached/

티스토리 방명록 작성
name password homepage