Akamai Diversity

Akamai 블로그

멤캐시드 1.3Tbps DDoS 공격 관련

2018년 2 28 17 28(GTM 기준) 아카마이 고객사인  소프트웨어 개발사를 대상으로 1.3 Tbps 규모의 DDoS공격이 발생했습니다. 멤캐시드(memcached) 반사 기반 공격으로 지금까지 아카마이가 관찰한 가장  공격 규모입니다. 지난 2016 9 발생한 미라이(Mirai) 봇넷을 이용한 공격 규모보다 2 이상 크기 때문에 공식적으로 발표된최대 규모의 DDoS 공격일 가능성이 높습니다. 하지만 멤캐시드 반사 기법의 특성을 고려했을   기록은 오래 유지되지 않을  같습니다.

memch.png

2 27 아카마이와 다른 기업들은 새로운 반사  증폭 기법인 멤캐시드(memcached) 발견됐다고 발표했습니다. 멤캐시드는 데이터를 캐싱하고 메모리 집약적인 서비스가 유발하는 부하를 줄이는 역할을 합니다. UDP TCP 모두에 대해 리스너(listener) 모드를 유지할  있고 별도의 인증을 요구하지 않습니다. UDP 쉽게 스푸핑(spoofing)  있기 때문에 멤캐시드는 반사기(reflector) 사용될  있습니다. 또한 멤캐시드의 증폭 계수는 5만이 넘기 때문에 203바이트의 요청이 100메가바이트의응답을 발생시킬  있습니다.
 
아카마이는 Prolexic 플랫폼을 기반으로 멤캐시드가 디폴트로 사용하는 UDP 포트 11211에서 발생하는 모든 트래픽을 필터링함으로써  공격을 방어했습니다. 2 26()부터 유사한 반사 공격이 많은 기업들을 타겟으로 발생하고 있으며 아카마이는   규모의 공격이 앞으로 보다 빈번하게 발생할 것으로 예상하고 있습니다.  공격을처음 발견한 이후 오픈된 멤캐시드 서버를 스캐닝하는 활동이 눈에 띄게 증가했습니다.
 
멤캐시드는 대규모 공격을 일으킬  있기 때문에 앞으로 멤캐시드 반사 기법을 하나의 툴로 이용하는 공격자들이 급증할  있습니다. 또한, 공격자들은 사용 가능한 반사기리스트를 만들고 있기 때문에 공격 효과가 상당히 커질 가능성도 존재합니다. 포트 11211에서 발생하는 트래픽에 대해 임계치를 설정(rate limit)하고  트래픽이 자사 네트워크로 유입유출되지 못하도록 차단하는 방법이 도움이   있지만 이를 실행하는 과정은 시간이 소요됩니다.
 
아카마이는 IT 업계의 다른 기업  파트너들과 협력하며 기업들이 우수모범사례(Best Common Practice) 도입하고 멤캐시드에 대한 적절한 조치를 통해 리스크를 줄여나갈  있도록 지원하고 있습니다

* 아카마이 DDoS 방어 솔루션 살펴보기: https://www.akamai.com/kr/ko/products/cloud-security/  

Leave a comment (코멘트 남기기)