2016.10.24

Dyn을 침몰시킨 DDoS 공격의 전개 방법…서브도메인 공격이 결정타

Tim Greene | Network World
지난 주 금요일 DNS 서비스 업체인 Dyn이 제공하는 인터넷 주소 조회 서비스를 장악한 DDoS 공격은 전 세계의 데이터센터를 중단시키기 위해 치밀하게 준비된 것이었다. 이로 인해 Dyn이 맡고 있는 1,200개 이상 도메인의 사용자들이 원하는 서비스에 접속하지 못했다.

이 공격은 미국 동부를 기준으로 금요일 저녁까지도 계속됐다.

Dyn이 제공하는 서비스는 www.itworld.co.kr처럼 인간의 언어로 된 인터넷 주소를 받아 관련 IP 주소를 전달하는 것으로, 라우터가 이를 받아 트래픽을 바로 정확한 위치로 안내해 준다.

이번 공격은 Dyn의 서비스를 불능 상태로 만들어서 Dyn의 고객사로 가는 트래픽을 막아버렸다. Dyn의 주요 고객사로는 아마존, 엣시, 깃허브, 트위터, 뉴욕타임즈 등이 있다.

이번 DDoS 공격에는 카메라나 DVR 같은 사물 인터넷 디바이스가 5만~10만 대 포함됐는데, 모두 미라이 봇넷에 감염된 것들이다. 물론 이외에도 여러 봇넷에 감염된 다양한 디바이스가 동원됐다. 레벨 3의 CTO 데일 드류는 이번 공격을 주도한 배후 조종자가 여러 개의 봇넷을 고용해 공격에 필요한 숫자를 만들어 냈을 것이라고 설명했다.

싸우전드아이즈(ThousandEyes)의 네트워크 중단 분석 전문가 닉 케파트는 Dyn의 서비스가 전세계적으로 장애를 일으키도록 하기 위해 상당히 신중하게 공격을 계획한 것으로 보인다고 말했다. 첫 번째 공격은 Dyn의 미국 동부 데이터센터 세 곳을 공격해 미국 동부 해안이 주로 타격을 받았는데, DNS 조회는 주로 가까운 데이터센터로 보내지기 때문이다.

두 번째 공격은 Dyn의 전 세계 데이터센터 20곳을 공격했다. 이 단계의 공격은 광범위한 계획을 필요로 한다. DNS 요청은 가장 가까운 DNS 서버로 가기 때문에 공격자는 20곳의 데이터센터 각각을 성공적으로 공격할 수 있는 계획을 세워야 하기 때문이다. 다시 말해 공격자는 각 지역에 충분한 봇을 확보해 지역별로 Dyn 서비스를 중단시킬 수 있었다는 의미이다.

드류는 이번 공격은 주로 TCP SYN 플러드로 이루어져 Dyn DNS 서버의 53번 포트를 직접 겨냥했지만, 서브도메인 공격이라고 부르는 추가 공격도 이루어졌다고 설명했다. 이 공격은 공격자가 DNS 요청을 특정 도메인에 대한 요청을 서버에 보낼 때, 대상은 해당 서버가 맡고 있는 것이다. 하지만 공격자는 도메인 이름 앞에 무작위로 지정 사항을 추가하거나 서브넷을 추가한다. 요청을 받은 서버는 이런 도메인 이름이 캐시에 없기 때문에 이를 다시 조회해야만 하는데, 이 과정에서 컴퓨팅 자원이 헛되이 소비되고 결과적으로 서버가 정상 트래픽을 처리할 수 없도록 만든다.

만약 공격이 특정 도메인 하나만 노렸다면, 이는 공격자가 해당 도메인의 소유자에게 피해를 주려는 것으로 볼 수 있다. 하지만 이번 경우는 Dyn이 책임지고 있는 도메인 전반에 걸쳐 이루어졌기 때문에 Dyn 서비스 자체가 공격 대상이라고 볼 수 있다.

드류는 대규모 사물 인터넷 봇넷의 배경이 되는 미라이 악성코드가 개입됐다고 밝혔다. 전체 50만 대의 미라이 봇 중 10~20%가 공격에 가담했다는 것이 드류의 설명이다. 또 레벨 3의 엔지니어가 얼마나 다양한 디바이스가 이번 공격에 가담했는지 파악하기 위해 노력하고 있다고 덧붙였다.

싸우전드아이즈는 Dyn과 인터넷 서비스 업체 간의 접속이 끊어지는 것을 관찰했다. 이런 접속 실패는 한쪽 또는 양쪽이 최선의 선택이라고 결정했기 때문이다.

케파트는 Dyn으로 몰려 든 봇넷 트래픽은 인터넷 백본 서비스 업체의 에지 네트워크에서 혼잡을 초래하기에 충분한 것이었으며, 서비스 업체들은 Dyn과의 연결을 끊어 정상 트래픽이 통과할 수 있도록 했다. 예를 들어, 싸우전드아이즈는 레빌 3이 Dyn으로의 연결을 끊었다고 밝혔다.

연결을 끊지 않은 주요 인터넷 백본 서비스 업체는 분명 일부 트래픽을 다른 경로로 보내 Dyn 공격으로 생긴 혼잡을 피해야만 했다.

이번 공격은 전 세계적인 범위에 공격의 지속 시간이나 1,200개가 넘는 피해 도메인 등 DNS 서비스 업체를 대상으로 한 공격 중 가장 큰 규모였다. 케파트는 지난 달 대형 사물 인터넷 봇넷의 공격이 이어졌다는 점에서 유사한 공격이 더 일어날 것으로 예상했다.

Dyn의 고객은 백업 DNS 서비스를 이용하는 한편, 아마존이나 페이팔처럼 공격 이후에 대안 DNS 서비스 업체와 계약을 체결했다.

기업은 자사의 DNS 서버에서 시간 설정을 최소화해 이런 공격이 발생하면 사용 가능한 다른 DNS 서비스로 더 빨리 전환할 수 있도록 할 수 있다. 케파트는 “정말로 불길한 징조다”라며, “두려운 것은 이번 사고로 일부 핵심 인프라가 너무나 많은 서비스에 매우 중요하다는 것을 보여줬다는 것”이며, 그런 인프라가 취약하다는 것이라고 강조했다.  editor@itworld.co.kr


2016.10.24

Dyn을 침몰시킨 DDoS 공격의 전개 방법…서브도메인 공격이 결정타

Tim Greene | Network World
지난 주 금요일 DNS 서비스 업체인 Dyn이 제공하는 인터넷 주소 조회 서비스를 장악한 DDoS 공격은 전 세계의 데이터센터를 중단시키기 위해 치밀하게 준비된 것이었다. 이로 인해 Dyn이 맡고 있는 1,200개 이상 도메인의 사용자들이 원하는 서비스에 접속하지 못했다.

이 공격은 미국 동부를 기준으로 금요일 저녁까지도 계속됐다.

Dyn이 제공하는 서비스는 www.itworld.co.kr처럼 인간의 언어로 된 인터넷 주소를 받아 관련 IP 주소를 전달하는 것으로, 라우터가 이를 받아 트래픽을 바로 정확한 위치로 안내해 준다.

이번 공격은 Dyn의 서비스를 불능 상태로 만들어서 Dyn의 고객사로 가는 트래픽을 막아버렸다. Dyn의 주요 고객사로는 아마존, 엣시, 깃허브, 트위터, 뉴욕타임즈 등이 있다.

이번 DDoS 공격에는 카메라나 DVR 같은 사물 인터넷 디바이스가 5만~10만 대 포함됐는데, 모두 미라이 봇넷에 감염된 것들이다. 물론 이외에도 여러 봇넷에 감염된 다양한 디바이스가 동원됐다. 레벨 3의 CTO 데일 드류는 이번 공격을 주도한 배후 조종자가 여러 개의 봇넷을 고용해 공격에 필요한 숫자를 만들어 냈을 것이라고 설명했다.

싸우전드아이즈(ThousandEyes)의 네트워크 중단 분석 전문가 닉 케파트는 Dyn의 서비스가 전세계적으로 장애를 일으키도록 하기 위해 상당히 신중하게 공격을 계획한 것으로 보인다고 말했다. 첫 번째 공격은 Dyn의 미국 동부 데이터센터 세 곳을 공격해 미국 동부 해안이 주로 타격을 받았는데, DNS 조회는 주로 가까운 데이터센터로 보내지기 때문이다.

두 번째 공격은 Dyn의 전 세계 데이터센터 20곳을 공격했다. 이 단계의 공격은 광범위한 계획을 필요로 한다. DNS 요청은 가장 가까운 DNS 서버로 가기 때문에 공격자는 20곳의 데이터센터 각각을 성공적으로 공격할 수 있는 계획을 세워야 하기 때문이다. 다시 말해 공격자는 각 지역에 충분한 봇을 확보해 지역별로 Dyn 서비스를 중단시킬 수 있었다는 의미이다.

드류는 이번 공격은 주로 TCP SYN 플러드로 이루어져 Dyn DNS 서버의 53번 포트를 직접 겨냥했지만, 서브도메인 공격이라고 부르는 추가 공격도 이루어졌다고 설명했다. 이 공격은 공격자가 DNS 요청을 특정 도메인에 대한 요청을 서버에 보낼 때, 대상은 해당 서버가 맡고 있는 것이다. 하지만 공격자는 도메인 이름 앞에 무작위로 지정 사항을 추가하거나 서브넷을 추가한다. 요청을 받은 서버는 이런 도메인 이름이 캐시에 없기 때문에 이를 다시 조회해야만 하는데, 이 과정에서 컴퓨팅 자원이 헛되이 소비되고 결과적으로 서버가 정상 트래픽을 처리할 수 없도록 만든다.

만약 공격이 특정 도메인 하나만 노렸다면, 이는 공격자가 해당 도메인의 소유자에게 피해를 주려는 것으로 볼 수 있다. 하지만 이번 경우는 Dyn이 책임지고 있는 도메인 전반에 걸쳐 이루어졌기 때문에 Dyn 서비스 자체가 공격 대상이라고 볼 수 있다.

드류는 대규모 사물 인터넷 봇넷의 배경이 되는 미라이 악성코드가 개입됐다고 밝혔다. 전체 50만 대의 미라이 봇 중 10~20%가 공격에 가담했다는 것이 드류의 설명이다. 또 레벨 3의 엔지니어가 얼마나 다양한 디바이스가 이번 공격에 가담했는지 파악하기 위해 노력하고 있다고 덧붙였다.

싸우전드아이즈는 Dyn과 인터넷 서비스 업체 간의 접속이 끊어지는 것을 관찰했다. 이런 접속 실패는 한쪽 또는 양쪽이 최선의 선택이라고 결정했기 때문이다.

케파트는 Dyn으로 몰려 든 봇넷 트래픽은 인터넷 백본 서비스 업체의 에지 네트워크에서 혼잡을 초래하기에 충분한 것이었으며, 서비스 업체들은 Dyn과의 연결을 끊어 정상 트래픽이 통과할 수 있도록 했다. 예를 들어, 싸우전드아이즈는 레빌 3이 Dyn으로의 연결을 끊었다고 밝혔다.

연결을 끊지 않은 주요 인터넷 백본 서비스 업체는 분명 일부 트래픽을 다른 경로로 보내 Dyn 공격으로 생긴 혼잡을 피해야만 했다.

이번 공격은 전 세계적인 범위에 공격의 지속 시간이나 1,200개가 넘는 피해 도메인 등 DNS 서비스 업체를 대상으로 한 공격 중 가장 큰 규모였다. 케파트는 지난 달 대형 사물 인터넷 봇넷의 공격이 이어졌다는 점에서 유사한 공격이 더 일어날 것으로 예상했다.

Dyn의 고객은 백업 DNS 서비스를 이용하는 한편, 아마존이나 페이팔처럼 공격 이후에 대안 DNS 서비스 업체와 계약을 체결했다.

기업은 자사의 DNS 서버에서 시간 설정을 최소화해 이런 공격이 발생하면 사용 가능한 다른 DNS 서비스로 더 빨리 전환할 수 있도록 할 수 있다. 케파트는 “정말로 불길한 징조다”라며, “두려운 것은 이번 사고로 일부 핵심 인프라가 너무나 많은 서비스에 매우 중요하다는 것을 보여줬다는 것”이며, 그런 인프라가 취약하다는 것이라고 강조했다.  editor@itworld.co.kr


X