Cloudflare DDoS 위협 보고서 제22호에 오신 것을 환영합니다. 분기별로 발행되는 이 보고서에서는 Cloudflare 네트워크의 데이터를 기반으로 분산 서비스 거부(DDoS) 공격의 진화하는 위협 환경에 대한 포괄적인 분석을 제공합니다. 이번 호에서는 2025년 2분기에 초점을 맞추고 있습니다. 이전 보고서를 확인하려면 www.ddosreport.com을 방문해 주세요.
2025년 2분기에 DDoS 공격이 가장 많았던 달은 6월로, 관찰된 전체 활동의 거의 38%를 차지했습니다. 주목할 만한 공격 대상 중 하나는 Cloudflare의 보호를 받는 동유럽의 독립 뉴스 매체로, LGBTQ 프라이드의 달 동안 지역 프라이드 퍼레이드를 보도한 후 공격을 받았다고 알려왔습니다.
DDoS 공격이 계속해서 기록을 갱신하고 있습니다. 2025년 2분기에 Cloudflare에서는 초당 7.3테라비트(Tbps) 및 초당 48억 패킷(Bpps)에 달하는 사상 최대 규모의 DDoS 공격을 자동으로 차단했습니다.
전반적으로, 2025년 2분기에는 대규모 볼류메트릭 DDoS 공격이 급증했습니다. Cloudflare에서는 6,500여 건의 대규모 볼류메트릭 DDoS 공격을 차단했으며, 이는 하루 평균 71건에 해당합니다.
전반적인 DDoS 공격 횟수는 전 분기 대비 감소했지만, Cloudflare 네트워크와 Cloudflare가 보호하는 중요 인터넷 인프라를 노린 대규모 캠페인이 전례 없이 급증했던 전 분기와 비교하여 2025년 2분기의 공격 횟수는 여전히 2024년 2분기보다 44% 많았습니다. 중요 인프라는 지속해서 압박을 받고 있으며, 통신, 서비스 제공자, 통신사업자 부문이 다시 한 번 가장 많이 표적이 된 산업으로 떠올랐습니다.
이 보고서에서 설명하는 모든 공격은 Cloudflare의 자율 방어 시스템에서 자동으로 감지하고 차단했습니다.
DDoS 공격 및 기타 유형의 사이버 위협에 대해 자세히 알아보려면 Cloudflare 학습 센터를 참조하세요. Cloudflare Radar를 방문하여 이 보고서의 인터랙티브 버전을 확인하고 더 자세히 살펴보세요. Radar에서는 또한 인터넷 트렌드를 조사하는 데 관심이 있는 사람들을 위해 무료 API가 제공됩니다. 이 보고서를 준비하는 데 사용된 방법론에 대해서도 자세히 알아볼 수 있습니다.
2025년 2분기에 Cloudflare에서는 730만 건의 DDoS 공격을 완화했으며, 이는 1분기의 2,050만 건에서 급격히 줄어든 수치입니다. 1분기에는 Cloudflare의 자체 인프라 및 Cloudflare에서 보호하는 기타 중요한 인프라에 대한 18일 간의 캠페인 때문에 1,350만 건의 DDoS 공격이 유발되었습니다.
분기별 DDoS 공격
2025년의 절반이 막 지난 현재까지 Cloudflare에서는 이미 2,780만 건의 DDoS 공격을 차단했으며, 이는 2024년 전체 DDoS 공격의 130%에 해당합니다.
연도별 DDoS 공격 현황
더 세분화하면, 계층 3/계층 4(L3/4) DDoS 공격은 전 분기 대비 81% 감소하여 320만 건을 기록했으며, HTTP DDoS 공격은 9% 증가하여 410만 건을 기록했습니다. 전년 대비 변화는 여전히 큽니다. 전체 공격은 2024년 2분기보다 44% 증가했으며, HTTP DDoS 공격은 전년 대비 129%로 가장 크게 증가했습니다.
월별 DDoS 공격
2025년 2분기에 Cloudflare에서는 6,500여 건의 대규모 볼류메트릭 DDoS 공격을 차단했으며, 이는 하루 평균 71건의 대규모 볼류메트릭 공격을 차단한 셈입니다. 대규모 볼류메트릭 공격에는 1Bpps 또는 1Tbps를 초과하는 L3/4 DDoS 공격과 초당 100만 요청(Mrps)을 초과하는 HTTP DDoS 공격이 포함됩니다.
초당 1억 패킷(pps)을 초과하는 대규모 볼류메트릭 DDoS 공격의 횟수는 전 분기 대비 592% 급증했으며, 초당 10억 패킷(pps) 및 1테라비트(Tbps)를 초과하는 DDoS 공격의 횟수는 전 분기 대비 두 배 증가했습니다. 100만 rps를 초과하는 HTTP DDoS 공격의 횟수는 총 약 2,000만 건으로 동일하게 유지되었으며, 하루 평균 거의 22만 건의 DDoS 공격이 발생했습니다.
2025년 2분기의 대규모 볼류메트릭 DDoS 공격
2025년 2분기에 발생한 DDoS 공격의 배후에 대해 질문을 받았을 때, 응답자의 대다수(71%)는 누가 자신들을 공격했는지 모른다고 답했습니다. 나머지 29%의 응답자 중 위협 행위자를 식별했다고 주장한 사람들 중 63%는 경쟁사를 지목했으며, 이는 게임, 도박, 암호화폐 산업에서 특히 흔한 패턴입니다. 또 다른 21%는 공격을 국가 수준 또는 국가에서 후원하는 행위자의 소행으로 지목했으며, 각각 5%는 실수로 자체를 공격했거나(셀프 DDoS), 갈취범의 표적이 되었거나, 불만을 품은 고객/사용자로부터 공격을 받았다고 답했습니다.
2025년 2분기에 보고된 상위 위협 행위자
2024년에 공격을 받은 Cloudflare 고객 중, 랜섬 DDoS 공격을 받았다거나 위협을 받았다고 보고한 고객의 비율이 전 분기 대비 68% 증가했으며, 2024년 같은 분기 대비 6% 증가했습니다.
2025년 2분기 랜섬 DDoS 공격
더 심층적으로 분석하면, 랜섬 DDoS 공격은 2025년 6월에 급증했습니다. 응답자의 약 3분의 1이 랜섬 DDoS 공격에 대한 위협을 받거나 공격을 받았다고 답했습니다.
2025년 2분기 월별 랜섬 DDoS 공격
2025년 2분기에 가장 많이 공격받은 상위 10개 지역의 순위가 크게 바뀌었습니다. 중국은 2단계 상승하여 1위를 되찾았고, 브라질은 4단계 상승하여 2위에 올랐습니다. 독일은 2단계 하락하여 3위로 내려갔으며, 인도는 1단계 상승하여 4위에 올랐고, 한국은 4단계 상승하여 5위를 차지했습니다. 터키는 4단계 하락해 6위, 홍콩은 3단계 하락해 7위, 베트남은 무려 15단계 상승해 8위에 올랐습니다. 한편, 러시아는 40단계나 급등하여 9위를 차지했고, 아제르바이잔은 31단계 상승하여 10위권이 마무리되었습니다.
2025년 2분기 DDoS 공격의 표적이 된 지역
이처럼 공격을 받은 지역은 Cloudflare 고객의 서비스가 공격받은 경우, 그 고객의 요금 청구 국가에 따라 결정된다는 점을 유의해야 하며, 해당 국가 자체가 공격을 받고 있다는 것은 아닙니다. 달리 말하면, 순위가 높다는 것은 직접적인 지정학적 대상 지정을 의미하기보다는 단순히 해당 요금 청구 관할권에 등록된 고객이 더 많은 DDoS 트래픽의 대상이었음을 의미합니다.
2025년 2분기에 가장 많이 공격받은 상위 10개 산업 순위에도 주목할 만한 변동이 있었습니다. 통신, 서비스 제공자, 통신사업자가 한 단계 상승하여 1위를 차지했으며, 인터넷 부문은 두 단계 상승하여 2위를 차지했습니다. 정보 기술 및 서비스는 세 번째로 가장 많은 공격을 받은 위치를 유지했으며, 게임 산업은 한 단계 상승하여 네 번째 자리를 차지했습니다. 도박 및 카지노 산업은 네 단계 하락하여 5위에 머물렀고, 은행 및 금융 서비스 산업은 6위를 유지했습니다. 소매는 한 단계 상승하여 7위에 올랐고, 농업은 38계단 급상승하여 8위에 올랐습니다. 컴퓨터 소프트웨어는 두 계단 올라 9위에 올랐고, 정부는 두 계단 올라 가장 많이 공격받은 상위 10개 산업이 마무리되었습니다.
2025년 2분기 DDoS 공격을 가장 많이 받은 산업
2025년 2분기 DDoS 공격의 주요 출처 상위 10개 국가 순위 또한 지난 분기와 비교하여 여러 가지 변동이 있었습니다. 인도네시아는 한 단계 상승하여 1위를 차지했고, 싱가포르는 두 단계 상승해 2위를 차지했으며, 홍콩은 두 단계 하락해 3위를 차지했습니다. 아르헨티나는 한 단계 하락해 4위를 차지했으며, 우크라이나는 DDoS 공격의 다섯 번째로 큰 출처 자리를 유지했습니다. 러시아의 순위가 6단계 급등해 6위를 기록했으며, 에콰도르가 그 뒤를 이어 7단계 상승했습니다. 베트남은 8번째로 큰 출처로 한 단계 상승했습니다. 네덜란드는 4단계 상승하여 9번째로 큰 DDoS 공격의 출처가 되었고, 태국은 3단계 하락하여 10번째로 큰 DDoS 공격의 출처가 되었습니다.
2025년 2분기 DDoS 공격의 주요 출처
이러한 '출처' 순위는 위협 행위자의 실제 위치가 아니라 봇넷 노드나 프록시나 VPN 엔드포인트가 위치한 장소를 반영한다는 점에 유의해야 합니다. IP 스푸핑이 만연한 L3/4 DDoS 공격의 경우, Cloudflare에서는 각 패킷을 처음 수집하고 차단한 Cloudflare 데이터 센터로 지리적 위치를 파악합니다. 330여 개 도시에 걸친 Cloudflare의 존재를 활용하여 매우 세밀한 정확도를 제공하는 것입니다.
자율 시스템 번호(ASN)는 인터넷에서 단일 라우팅 정책에 따라 운영되는 하나 이상의 네트워크 또는 IP 네트워크 그룹에 할당된 고유 식별자입니다. 이는 BGP(Border Gateway Protocol)와 같은 프로토콜을 사용하여 시스템 간에 라우팅 정보를 교환하는 데 사용됩니다.
독일의 Hetzner(AS24940) 네트워크가 HTTP DDoS 공격의 최대 출처였던 1위에서 3위로 하락한 것은 약 1년 만에 처음 있는 일입니다. 오스트리아의 Drei(AS200373)는 이를 대체하며 HTTP DDoS 공격 출처 순위에서 6계단 상승하여 1위를 차지했습니다. 미국에 본사가 있는 DigitalOcean(AS14061)은 한 단계 상승하여 2위를 차지했습니다.
HTTP DDoS 공격의 상위 10개 ASN 출처
위의 차트에서 볼 수 있듯이 ASN 10개 중 8개는 가상 머신(VM), 호스팅, 클라우드 서비스를 제공하고 있으며, 이러한 이유로 VM 기반 봇넷이 많이 사용됩니다. 이러한 봇넷은 IoT 기반 봇넷보다 5,000배 더 강력한 것으로 추정됩니다. Drei(AS200373)와 ChinaNet Backbone(AS4134) 만이 주로 인터넷 서비스 공급자 또는 통신사로, 주요 공개 VM/클라우드 서비스를 제공하지 않습니다.
IoT 기반 봇넷과 VM 기반 봇넷의 비교
Cloudflare에서는 호스팅 공급자, 클라우드 컴퓨팅 공급자, 기타 인터넷 서비스 공급자들이 이러한 공격을 시작하는 악성 계정을 식별하고 차단하도록 지원하기 위해, Cloudflare만의 고유한 관측 지점을 활용해 서비스 공급자를 위한 DDoS 봇넷 위협 피드를 무료로 제공합니다. 전 세계적으로 600여 개의 조직에서 이미 이 피드에 가입했으며, 커뮤니티 전반에서 봇넷 노드를 제거하기 위한 협업이 잘 이루어지고 있습니다. 이는 서비스 공급자에게 HTTP DDoS 공격을 시작하는 것으로 확인된 ASN 내의 문제 IP 주소 목록을 제공하는 위협 피드 덕분에 가능합니다. 이는 완전히 무료이며, 무료 Cloudflare 계정을 개설하고 PeeringDB를 통해 ASN을 인증한 후 API를 통해 위협 인텔리전스를 가져오기만 하면 됩니다.
서비스 제공자는 간단한 API 호출로 네트워크 내의 문제 IP 목록을 얻을 수 있습니다. 응답 예시가 아래에 나와 있습니다.
{
"result": [
{
"cidr": "127.0.0.1/32",
"date": "2024-05-05T00:00:00Z",
"offense_count": 10000
},
// ... other entries ...
],
"success": true,
"errors": [],
"messages": []
}
무료 ISP DDoS 봇넷 위협 피드 API로부터의 응답 예시
2025년 2분기에는 대부분(71%)의 HTTP DDoS 공격이 알려진 봇넷에 의해 시작되었습니다. 대규모 네트워크를 운영하고 다양한 유형의 공격과 봇넷을 확인함에 따라 이러한 공격을 신속하게 감지하고 차단할 수 있었습니다. Cloudflare의 시스템은 실시간 위협 인텔리전스를 활용하여 DDoS 봇넷을 매우 빠르게 식별하여 보다 효과적으로 완화하는 데 기여합니다. DDoS 봇넷이 단 하나의 웹사이트나 IP 주소만을 공격 대상으로 삼았더라도, 저희 전체 네트워크와 고객 기반은 즉시 보호됩니다. 이 실시간 위협 인텔리전스 시스템은 봇넷이 형태를 바꾸고 노드를 변경하는 것에 적응합니다.
2025년 2분기 상위 HTTP DDoS 공격 벡터
2025년 2분기에 DNS 폭주 공격은 상위 L3/4 공격 벡터로, L3/4 DDoS 공격 전체의 거의 3분의 1을 차지했습니다. 두 번째로 많이 사용된 공격 벡터는SYN 폭주였으며, 1분기 31%에서 2분기에는 27%로 감소했습니다.
3위인 UDP 폭주 비율도 1분기 9%에서 2분기 13%로 유의미하게 증가했습니다. RST 폭주, TCP 기반 DDoS 공격의 또 다른 형태로, 전체 L3/4 공격의 5%를 차지하며 네 번째로 흔한 벡터였습니다. 상위 5위 안에 SSDP 폭주가 지난 분기 4.3%에서 감소한 3%로 5위에 올랐지만, 이전에 널리 퍼졌던 Mirai 공격(1분기 18%에서 2분기에 단 2%로 떨어짐)을 상위 5위에서 밀어냈습니다.
2025년 2분기 상위 L3/4 DDoS 공격 벡터
상위 3개 L3/4 DDoS 공격 벡터 분석
다음은 가장 흔한 L3/4 DDoS 공격 상위 3가지에 대한 세부 정보입니다. Cloudflare에서는 조직에서 반사 및 증폭 요소가 되지 않도록 하는 방법에 대한 권장 사항과 합법적인 트래픽에 영향을 주지 않으면서 이러한 공격을 방어하는 방법에 대한 권장 사항을 제공합니다. Cloudflare의 고객은 이러한 공격으로부터 보호됩니다.
DNS 폭주 공격
유형: 폭주
작동 방식: DNS 폭주는 유효하거나 무작위이거나 잘못된 DNS 쿼리로 많은 양의 DNS 서버를 압도하여 CPU, 메모리, 대역폭을 소진시키는 것을 목표로 합니다. 증폭 공격과는 달리 이 공격은 UDP 53번 포트를 통해 발생하는 경우가 많지만, TCP를 통해 발생하는 경우(특히 DNS-over-TCP 또는 DNSSEC사용 영역)를 통해 성능을 저하시키거나 서비스 중단을 유발하기 위한 직접적인 폭주입니다.
공격 방어 방법: Cloudflare DNS를 기본 또는 보조 DNS로 사용하고, Cloudflare DNS 방화벽 및/또는 Cloudflare Magic Transit을 사용하여 쿼리 폭주가 원본에 도달하기 전에 이를 흡수하고 완화합니다. Cloudflare의 전역 네트워크는 내장된 DDoS 필터링 및 DNS 쿼리 캐싱을 통해 초당 수천만 개의 DNS 쿼리를 처리하며, 합법적인 요청에 응답하면서 잘못된 형식의 트래픽이나 과도한 트래픽을 차단합니다.
의도하지 않은 영향을 방지하는 방법: DNS 트래픽을 모두 차단하거나 UDP 포트 53을 비활성화하지 마세요. 그러면 정상적인 확인이 불가능합니다. Advanced DNS Protection 시스템 등 Cloudflare의 DNS 관련 보호를 사용하고 DNSSEC 인식 보호 기능을 배포하여 TCP 기반 쿼리 폭주를 안전하게 처리합니다.
SYN 폭주 공격
유형: 폭주
작동 방식: SYN 폭주 시 위협 행위자는 대량의 TCP SYN 패킷(주로 스푸핑된 IP 주소를 사용)을 전송하여 완료되지 않는 연결을 시작합니다. 이로 인해 대상 시스템이 반개방 연결 상태가 되어 메모리와 연결 추적 리소스를 소모하게 되며, 이에 따라 서버의 한계가 초과되어 실제 클라이언트가 연결할 수 없게 될 수 있습니다.
공격 방어 방법: Cloudflare Magic Transit을 사용하여 에지에서 TCP SYN 폭주를 가로채고 완화합니다. Cloudflare에서는 SYN 쿠키, 연결 추적, 행동 분석을 활용하여 스푸핑되거나 악의적인 출처와 실제 클라이언트를 구분하고, 합법적인 TCP 연결이 성공적으로 완료되도록 보장합니다. HTTP 또는 TCP용 리버스 프록시 서비스인 Cloudflare의 CDN/WAF 서비스나 Cloudflare Spectrum을 각각 사용. 리버스 프록시를 사용하면 TCP 기반 DDoS 공격의 영향을 기본적으로 제거할 수 있습니다.
의도하지 않은 영향을 피하는 방법: 모든 SYN 트래픽을 차단하거나 제한 시간 초과를 적극적으로 적용하면 실제 사용자가 차단될 수 있습니다. 대신 SYN 레이트 셰이핑, 이상 감지, 스푸핑 패킷 필터링을 사용하여 실제 클라이언트 연결에 영향을 주지 않고 공격을 완화하는 Cloudflare의 첨단 TCP 보호 시스템을 사용하세요.
UDP DDoS 공격
유형: 폭주
작동 방식: 대량의 UDP 패킷이 대상 IP 주소의 무작위 포트나 특정 포트로 전송됩니다. 처리할 수 있는 것보다 많은 패킷으로 인터넷 링크를 포화시키거나 인라인 기기를 압도하여 중단이나 정전을 일으키려고 시도할 수도 있습니다.
공격 방어 방법: Cloudflare Magic Transit 또는 Cloudflare Spectrum과 같이 실시간으로 공격 트래픽을 지문화할 수 있는 클라우드 기반 볼륨 기반 DDoS 보호 기능을 배포하고, UDP 트래픽에 스마트 레이트 리미팅을 적용하며, Magic Firewall을 사용하여 원치 않는 UDP 트래픽을 모두 차단합니다.
의도하지 않은 영향을 방지하는 방법: 적극적인 필터링을 하면 VoIP, 화상 회의, 온라인 게임 등 합법적인 UDP 서비스에 지장이 있을 수 있습니다. 임계값을 신중하게 적용하세요.
2025년 2분기에 새롭게 등장한 L3/4 DDoS 위협 중 Teeworlds 폭주가 가장 많이 급증했습니다. 이러한 공격은 전 분기 대비 385% 급증했으며, RIPv1 폭주 공격이 뒤를 이어 296% 급증했습니다. RDP 폭주는 173%, Demon Bot 폭주는 149% 증가했습니다. 이 유명한 VxWorks 폭주 사고도 전 분기 대비 71% 증가하며 다시 증가했습니다. 이러한 극적인 증가세는 위협 행위자들이 표준 방어를 피하기 위해 잘 알려지지 않은 프로토콜과 레거시 프로토콜을 지속해서 실험하고 있음을 보여줍니다.
2025년 2분기의 주요 새로운 위협
새롭게 떠오르는 주요 위협 분석
다음은 2025년 2분기에 새롭게 떠오르는 위협에 대한 세부 정보로, 대부분 아주 오래된 공격 벡터를 재활용한 것입니다. Cloudflare에서는 조직에서 반사 및 증폭 요소가 되지 않도록 하는 방법에 대한 권장 사항과 합법적인 트래픽에 영향을 주지 않으면서 이러한 공격을 방어하는 방법에 대한 권장 사항을 제공합니다. Cloudflare의 고객은 이러한 공격으로부터 보호됩니다.
유형: 폭주
작동 방식: Teeworlds는 빠르게 진행되는 오픈 소스 2D 멀티플레이어 슈팅 게임으로, 사용자 지정 UDP 기반 프로토콜을 사용하여 실시간 게임 플레이를 구현합니다. 위협 행위자는 게임 내 동작이나 연결 시도를 모방한 스푸핑되거나 과도한 UDP 패킷으로 대상의 게임 서버를 과부하 상태로 만듭니다. 이에 따라 서버 리소스가 과부하되어 지연 또는 장애가 초래될 수 있습니다.
공격 방어 방법: Cloudflare Spectrum 또는 Cloudflare Magic Transit을 사용하여 서버를 보호합니다. Cloudflare에서는 실시간 지문 인식을 통해 이러한 공격 유형을 자동으로 감지하고 완화하며, 실제 사용자의 액세스는 허용하면서도 공격 트래픽은 차단합니다. Magic Transit은 또한 사용자 정의 보호 기능을 구축하는 데 사용할 수 있는 패킷 수준 방화벽 기능인 Magic Firewall을 제공합니다.
의도하지 않은 영향을 방지하는 방법: 사용자 지정 규칙을 만들 때 전체 게임 플레이를 방해할 수 있는 UDP 포트 8303을 직접 차단하거나 공격적으로 레이트 리미팅을 하지 말아야 합니다. 대신 지능형 감지 및 완화 서비스를 활용하여 합법적인 사용자에게 영향을 주지 않도록 하세요.
Teeworlds Screenshot Jungle. 출처: Wikipedia
RIPv1 DDoS 공격
유형: 반사 + (낮은) 증폭
작동 방식: UDP/520을 사용하는 오래된 미인증 거리 벡터 라우팅 프로토콜인 라우팅 정보 프로토콜 버전 1(RIPv1)을 악용합니다. 위협 행위자는 스푸핑된 라우팅 업데이트를 전송하여 네트워크를 폭주시키거나 혼란스럽게 만듭니다.
반사/증폭 요소가 되지 않도록 하는 방법: 라우터에서 RIPv1을 비활성화합니다. 라우팅이 필요한 곳에서는 인증을 사용하여 RIPv2를 사용합니다.
해당 공격 방어 방법: 신뢰할 수 없는 네트워크로부터의 인바운드 UDP/520을 차단합니다. 예상되지 않은 라우팅 업데이트를 감시합니다.
의도하지 않은 영향 회피 방법: RIPv1은 대부분 구식입니다. 비활성화하는 것이 일반적으로 안전합니다. 레거시 시스템에서 RIPv1에 의존하는 경우, 변경하기 전에 라우팅 동작을 검증합니다.
RDP DDoS 공격
DemonBot DDoS 공격
유형: 봇넷 기반 폭주
작동 방식: DemonBot은 맬웨어 변종으로, 오픈 포트나 취약한 자격 증명을 통해 Linux 기반 시스템, 특히 보호되지 않은 IoT 장치를 감염시킵니다. 감염된 장치는 봇넷의 일부가 되어 대량의 UDP, TCP, 애플리케이션 계층 폭주를 실행할 수 있습니다. 공격은 일반적으로 명령 및 제어(C2) 기반이며 게임, 호스팅, 기업 서비스를 대상으로 상당한 양의 볼류메트릭 트래픽을 생성할 수 있습니다. 감염을 피하려면 안티바이러스 소프트웨어와 도메인 필터링을 활용하세요.
공격 방어 방법: Cloudflare Magic Transit을 사용하여 인프라에 도달하기 전에 대규모 네트워크 계층 폭주를 흡수하고 필터링합니다. Cloudflare의 실시간 트래픽 분석 및 서명 기반 감지는 DemonBot에 감염된 장치에서 발생하는 트래픽을 무력화합니다. 애플리케이션 계층 서비스의 경우 Cloudflare DDoS 방어 및 WAF를 사용하면 대상 지정 HTTP 폭주와 연결 남용을 완화할 수 있습니다.
의도하지 않은 영향을 방지하는 방법: 트래픽 유형 또는 포트를 광범위하게 차단하는 대신 Cloudflare의 적응형 완화를 사용하여 정상적인 사용자와 봇넷 트래픽을 구분합니다. IP 평판 필터링, 지리적 차단, 레이트 리미팅을 결합하여 긍정 오류를 줄이고 서비스 가용성을 유지합니다.
VxWorks 폭주 DDoS 공격
유형: 폭주(IoT 기반)
작동 방식: VxWorks는 수백만 개의 임베디드 및 IoT 장치(예: 라우터, 산업용 컨트롤러)에서 사용되는 실시간 운영 체제(RTOS)입니다. 오래되거나 잘못 구성된 VxWorks 버전을 실행하는 장치는 손상되어 DDoS 공격을 시작하는 데 사용될 수 있습니다. 감염되면(주로 공개된 익스플로잇이나 취약한 자격 증명을 통해) 기존의 IoT 봇넷과 유사하게 대상을 압도하기 위해 대량의 UDP, TCP, ICMP 트래픽을 전송합니다.
공격 방어 방법: Cloudflare Magic Transit을 배포하여 네트워크 에지에서 볼류메트릭 트래픽을 차단합니다. Cloudflare에서는 실시간 지문 인식 및 독점 휴리스틱을 사용하여 손상된 VxWorks 장치의 트래픽을 식별하고 이를 실시간으로 완화합니다. 애플리케이션 서비스의 경우 Cloudflare의 DDoS 완화 및 Gateway 서비스로 프로토콜 수준 남용에 대해 추가로 보호 기능이 제공됩니다.
의도하지 않은 영향을 방지하는 방법: UDP 또는 ICMP 트래픽을 과도하게 차단하지 마십시오. 정상적인 진단 또는 실시간 서비스에 방해가 될 수 있습니다. 대신 Cloudflare의 지능형 필터링, 레이트 리미팅, 지리적/IP 평판 도구를 사용하여 합법적인 트래픽에 영향을 주지 않으면서 공격을 안전하게 완화하세요.
Cloudflare의 실시간 지문 생성 흐름
대부분의 DDoS 공격은 규모가 작고 짧게 끝납니다. 2025년 2분기에는 L3/4 DDoS 공격의 94%가 500Mbps를 넘지 않았습니다. 마찬가지로 L3/4 DDoS 공격의 약 85%는 50,000pps를 초과하지 않았습니다. 대부분의 HTTP DDoS 공격은 소규모이며, 65%가 초당 요청 5만 개 미만으로 유지됩니다. 하지만 '소규모'는 상대적인 용어입니다.
평균적인 최신 서버는 일반적으로 약 4~8개의 CPU 코어(예: Intel Xeon Silver), 16~64GB RAM, 1Gbps NIC를 갖추고 NGINX나 유사한 소프트웨어가 설치된 Ubuntu 또는 CentOS와 같은 Linux OS를 실행하는 범용 물리적 또는 가상 머신을 말합니다. 이 설정은 조정 및 워크로드에 따라 약 100,000~500,000pps, 최대 약 940Mbps의 처리량, 정적 콘텐츠의 경우 약 10,000~100,000rps, 데이터베이스 기반 동적 애플리케이션의 경우 500~1,000rps를 처리할 수 있습니다.
서버가 클라우드 DDoS 방어 서비스로 보호되지 않는다고 가정할 때, 피크 트래픽 시간에 '소규모' DDoS 공격의 대상이 되면 서버에서 이를 처리하지 못할 가능성이 매우 높습니다. '소규모' DDoS 공격까지도 보호되지 않은 서버에 상당한 영향을 미칠 수 있습니다.
2025년 2분기 DDoS 공격 규모 및 지속 시간
대부분의 DDoS 공격은 소규모이지만, 대규모 볼류메트릭 DDoS 공격은 규모와 빈도가 증가하고 있습니다. HTTP DDoS 공격 100건 중 6건은 1Mrps를 초과하며, L3/4 DDoS 공격 10,000건 중 5건은 1Tbps를 초과합니다. 이는 전 분기 대비 1,150% 증가한 수치입니다.
세계 최대 규모의 공격: 7.3Tbps
대부분의 DDoS 공격은 지속 시간이 짧으며, 가장 대규모의 집중적인 공격도 마찬가지입니다. 위협 행위자는 감지를 피하고 표적을 압도하며 방어가 완전히 활성화되기 전에 최대한의 혼란을 야기하기 위해, 기록적인 7.3Tbps DDoS 공격에서 볼 수 있듯이 45초 동안 지속되는 짧은 트래픽 집중 버스트에 의존하는 경우가 많습니다. 이러한 짧고 고강도인 전술 때문에 감지와 완화가 더욱 어려워지며, 상시 가동되는 실시간 보호의 필요성이 대두됩니다. 다행히 Cloudflare의 자율 DDoS 방어 시스템은 즉시 작동합니다.
Cloudflare에서는 더 나은 인터넷을 구축하는 데 전념합니다. 그 임무의 일환으로, 규모, 기간, 양과 관계없이 무제한 DDoS 방어를 무료로 제공합니다. 저희는 단순히 DDoS 공격만 방어하는 것이 아닙니다. 최고의 방어는 훌륭한 공격이며, Cloudflare에서는 무료 인터넷 서비스 공급자 봇넷 위협 피드를 사용하여 봇넷 제거에 기여합니다.
많은 사람이 여전히 대응형 보호를 채택하거나 오래된 솔루션에 의존하지만, 저희 데이터에 따르면 선제적이고 항상 작동하는 보안이 훨씬 더 효과적임이 드러납니다. Cloudflare에서는 전 세계 330여 개 도시에 걸쳐 388Tbps 용량을 갖춘 전역 네트워크를 통해 모든 유형의 DDoS 공격에 대해 실전에서 입증된 자동화된 인라인 방어를 제공합니다.