미국 보안회사 Imperva는 고객사인 중국의 한 복권 웹사이트에 최근 발생한 DDoS 공격을 소개하며 주의를 요했다. 공격에는 Nitol 맬웨어에 감염된 봇넷이 사용되었고, 중국 바이두 검색엔진 웹 크롤러로 위장, 초당 163,000건의 HTTP POST 요청으로 랜덤 생성된 대형 파일의 서버 업로드를 시도했다고 한다.
이 공격은 애플리케이션-레이어 DDoS 공격으로 초당 8.7Gbps 규모였다고 한다. DDoS 공격의 경우 100 Gps를 넘는 경우가 많으므로 대수롭지 않아 보일 수 있지만, 데이터 패킷 사이즈가 아닌, 웹 애플리케이션이 처리 가능한 요청 건수 기준으로 공격하므로 초당 20만개 이상의 요청에도 불구하고 500Mbps 이하 규모였다고 한다. 각각의 요청에 해당하는 패킷 사이즈가 아주 작았기 때문이다.
DDoS 공격은 네트워크 레이어나 애플리케이션 레이어를 목표로 삼는다. 네트워크 레이어 DoS 공격은 상대방 네트워크에 악성 패킷을 보내 대역폭을 전부 소모시키고, 애플리케이션 레이어 DoS 공격은 HTTP 요청으로 서버 자원(CPU, RAM)을 고갈시킨다.
네트워크 레이어 공격은 네트워크로 향하는 모든 트래픽을 DDoS 방지 서비스 네트워크를 경유하도록 해서 악성 패킷을 걸러내고 합법적인 패킷만 통과시키는 방어, 애플리케이션 레이어 공격은 고객 네트워크 웹서버에 특수 제작된 하드웨어를 통하도록 하는 방어가 주로 사용되는데 이 경우 이번 HTTP flood 공격에 무방비 상태가 될 수 있다고 연구원들은 말했다.
TCP 접속이 구축된 후에야 애플리케이션 레이어 트래픽 필터링이 가능하다는 점도 문제라고 연구원들은 지적했다. 애플리케이션 레이어 보호용 자체 구축 어플라이언스가 처리 가능한 한도를 초과하는 양의 트래픽을 생성하므로 어플라이언스에 도착조차 못 해 네트워크 레이어 공격을 애플리케이션 레이어 뒤에 숨기는 결과를 가져오게 된다는 것.
ISP가 아니고서야 12 – 15 Gbps 공격를 감당할 조직은 많지 않으며, 공격자들은 추가적인 봇넷 등으로 공격 규모를 쉽게 늘일 수 있으므로 주의해야 하며, 특히 금융권의 경우 HTTP 전송 데이터에 암호화를 적용하고, 자사 인프라 내부에서 접속을 종료해야 한다는 문제점이 있으므로 암호화 해제 후에도 검사가 필요하다고 연구원들은 강조했다.
출처: Imperve 블로그
