4.2Tbps의 불량 패킷과 그 외 여러 가지: Cloudflare의 3분기 DDoS 보고서

Cloudflare DDoS 위협 보고서 제18호에 오신 것을 환영합니다. 분기별로 발표되는 이 보고서에서는 Cloudflare 네트워크 전반에 걸쳐서 관찰된 DDoS 위협 환경에 대한 심층 분석을 제공합니다. 이번 호에서는 2024년 3분기를 다룹니다.

전 세계 330여 개의 도시에 위치하고 296Tbps의 네트워크를 갖춘 Cloudflare는 모든 웹 사이트의 거의 20%에서 리버스 프록시로 이용됩니다. Cloudflare 는 귀중한 인사이트와 동향을 광범위한 인터넷 커뮤니티에 제공하는 데 있어 독보적인 우위를 점하고 있습니다.

• DDoS 공격 횟수는 2024년 3분기에 급증했습니다. Cloudflare에서는 약 600만 건의 DDoS 공격을 완화했으며, 이는 전 분기 대비 49%, 전년 대비 55% 증가한 수치입니다.

• 이 600만 건 중, Cloudflare의 자율 DDoS 방어 시스템에서는 속도가 3Tbps 및 초당 20억 패킷을 초과하는 대규모 볼류메트릭 DDoS 공격을 200개 이상 감지하고 완화했습니다. 최대 규모의 공격은 4.2Tbps의 최고치를 기록했으며 1분 동안 지속되었습니다.

• 은행 및 금융 서비스 산업은 DDoS 공격을 가장 많이 받았습니다. DDoS 공격을 가장 많이 받은 국가는 중국이었으며, DDoS 공격의 최대 출처는 인도네시아였습니다.

DDoS 공격 및 기타 사이버 위협에 대해 자세히 알아보려면 저희 학습 센터를 방문하거나, Cloudflare 블로그에서 이전 DDoS 위협 보고서를 확인하거나, 저희 대화형 허브인 Cloudflare Radar를 방문하세요. 이러한 동향 및 기타 인터넷 동향을 조사하는 데 관심이 있는 분을 위한 무료 API도 있습니다. 이 보고서를 준비하는 데 사용된 방법론에 대해서도 자세히 알아볼 수 있습니다.

2024년 상반기에 Cloudflare의 자율 DDoS 방어 시스템에서는 850만 건의 DDoS 공격을 자동으로 감지하고 완화했습니다. 1분기에는 450만 건, 2분기에는 400만 건이었습니다. 3분기에 Cloudflare 시스템에서는 약 600만 건의 DDoS 공격을 방어하여, 올해 지금까지 총 1,450만 건의 DDoS 공격을 방어했습니다. 이는 시간당 평균 약 2,200건의 DDoS 공격이 발생한 셈입니다.

이러한 공격 중, Cloudflare에서는 1Tbps 또는 1Bpps를 초과하는 하이퍼 볼류메트릭 네트워크 계층 DDoS 공격을 200회 이상 완화했습니다. 최대 규모의 공격은 3.8Tbps와 2.2Bpps로 최고치를 기록했습니다. 이러한 공격과 당사의 DDoS 방어 시스템에서 이를 자율적으로 완화하는 방법에 대해 자세히 알아보세요.

^{시간에 따른 대규모 볼류메트릭 DDoS 공격 분포}

이 블로그 게시물을 작성하는 와중에도 저희 시스템에서는 이러한 대규모 공격을 계속 감지하고 완화했으며, 지난 번 공개 후 3주 만에 신기록을 다시 갱신했습니다. 2024년 10월 21일, Cloudflare의 시스템에서는 약 1분 동안 지속된 4.2Tbps DDoS 공격을 자율적으로 감지하고 완화했습니다.

^{Cloudflare에서 자율적으로 완화된 4.2Tbps DDoS 공격}

6백만 건의 DDoS 공격 중 절반은 HTTP(애플리케이션 계층) DDoS 공격이었고 절반은 나머지 네트워크 계층 DDoS 공격이었습니다. 네트워크 계층 DDoS 공격은 전 분기 대비 51%, 전년 대비 45% 증가했으며 HTTP DDoS 공격은 전 분기 대비 61%, 전년 대비 68% 증가했습니다.

가장 큰 규모의 공격을 포함하여 90%의 DDoS 공격은 매우 짧았습니다. 그러나 1시간 이상 지속되는 공격은 약간(7%) 증가했습니다. 이러한 더 긴 공격은 전체 공격의 3%를 차지했습니다.

3분기에는 HTTP DDoS 공격과 비교하여 네트워크 계층 DDoS 공격의 횟수가 고르게 분포되었습니다. 네트워크 계층 DDoS 공격 중 SYN 폭주가 가장 큰 공격 벡터 였으며 DNS 폭주 공격, UDP 폭주, SSDP 반사 공격, ICMP 반사 공격이 그 뒤를 이었습니다.

애플리케이션 계층에서, HTTP DDoS 공격의 72%가 알려진 봇넷에 의해 시작되었으며, Cloudflare의 독점 휴리스틱으로 자동 완화되었습니다. 저희가 자체 개발한 휴리스틱으로 DDoS 공격의 72%를 완화했다는 사실은 대규모 네트워크를 운영하는 것이 장점이 있다는 사실을 잘 보여줍니다. 저희가 관찰한 트래픽이 많고 공격의 규모가 크기 때문에 봇넷에 대한 강력한 방어 구축, 테스트, 배포가 가능합니다.

HTTP DDoS 공격의 또 다른 13%는 의심스럽거나 비정상적인 HTTP 속성으로 인해 완화되었으며, 또 다른 9%는 가짜 브라우저나 브라우저를 가장하는 사람이 실행한 HTTP DDoS 공격이었습니다. '기타'의 나머지 6%에는 로그인 엔드포인트를 겨냥한 공격과 캐시 버스팅 공격이 포함되어 있습니다.

한 가지 유의할 점은 이러한 공격 벡터, 즉 공격 그룹이 반드시 배타적이지는 않는다는 점입니다. 예를 들어, 알려진 봇넷은 브라우저를 가장하고 의심스러운 HTTP 속성을 가지고 있기는 하지만, 이 분석은 Cloudflare에서 HTTP DDoS 공격을 의미 있는 방식으로 범주화해보려는 시도입니다.

^{2024년 3분기 DDoS 공격 분포}

3분기에는 SSDP 증폭 공격이 전 분기 대비 4,000% 증가한 것으로 확인되었습니다. 단순 서비스 발견 프로토콜(SSDP) 공격은 범용 플러그 앤 플레이(UPnP) 프로토콜을 이용하는 반사 및 증폭 DDoS 공격의 한 유형입니다. 공격자는 라우터, 프린터, IP 지원 카메라 등 취약한 UPnP 지원 장치에 SSDP 요청을 보내고, 소스 IP 주소를 피해자의 IP 주소로 스푸핑합니다. 이러한 장치에서는 대량의 트래픽으로 피해자의 IP 주소에 응답하여 피해자의 인프라를 압도합니다. 증폭 효과를 통해 공격자는 소규모 요청으로도 막대한 트래픽을 생성할 수 있어 피해자의 서비스를 오프라인 상태로 만들 수 있습니다. 불필요한 장치에서 UPnP를 비활성화하고 DDoS 완화 전략을 사용하면 이 공격을 방어하는 데 도움이 될 수 있습니다.

^{SSDP 증폭 공격의 도해}

위협 행위자는 HTTP DDoS 공격을 시작할 때 감지를 피하기 위해 더 많이 섞여 들려고 합니다. 이를 위한 한 가지 전술은 사용자 에이전트를 스푸핑하는 것입니다. 이렇게 하면 성공적으로 처리되었을 때 합법적인 브라우저 또는 클라이언트로 나타납니다.

3분기에는 HTTP DDoS 공격 트래픽의 80%가 Google Chrome 브라우저를 가장했으며, 이는 공격에서 가장 흔하게 관찰된 사용자 에이전트였습니다. 더 구체적으로 말하자면 Chrome 118, 119, 120, 121이 가장 일반적인 버전이었습니다.

2위의 경우, HTTP DDoS 공격 트래픽의 9%에서 사용자 에이전트가 보이지 않았습니다.

3위와 4위에서는 Go-http-client 및 fasthttp 사용자 에이전트를 사용한 공격이 관찰되었습니다. 전자는 Go의 표준 라이브러리 내 기본 HTTP 클라이언트이고 후자는 고성능 대안입니다. fasthttp는 빠른 웹 애플리케이션을 구축하는 데 사용되지만, DDoS 공격 및 웹 스크래핑에도 자주 사용됩니다.

^{DDoS 공격에 가장 많이 사용된 사용자 에이전트}

사용자 에이전트 hackney는 5위를 차지했습니다. 이는 Erlang을 위한 HTTP 클라이언트 라이브러리입니다. 이는 HTTP 요청을 보내는 데 사용되며 Erlang/Elixir 생태계에서 널리 사용됩니다.

흥미로운 사용자 에이전트인 HITV_ST_PLATFORM이 6위를 차지했습니다. 이 사용자 에이전트는 스마트 TV 또는 셋톱 박스와 관련된 것으로 보입니다. 위협 행위자는 사이버 공격에서 Chrome 사용자 에이전트를 자주 사용하는 모습에서 알 수 있듯이 일반적으로 흔하지 않은 사용자 에이전트의 사용을 기피합니다. 따라서 HITV_ST_PLATFORM의 존재는 문제의 장치가 실제로 손상된 스마트 TV 또는 셋톱 박스임을 시사할 수 있습니다.

저희는 7위를 차지한 uTorrent 사용자 에이전트가 공격에 사용되는 것을 확인했습니다. 이 사용자 에이전트는 파일을 다운로드하는 데 사용되는 인기 있는 BitTorrent 클라이언트와 관련되어 있습니다.

마지막으로, okhttp는 Java 및 Android 애플리케이션용 HTTP 클라이언트로 인기가 많았음에도 불구하고 DDoS 공격에서 가장 덜 일반적인 사용자 에이전트였습니다. 

HTTP DDoS 공격 트래픽의 89%에서 GET 메서드가 사용되었지만, 이는 가장 일반적으로 사용되는 HTTP 메서드이기도 합니다. 따라서 공격 요청 수를 HTTP 메서드별 총 요청으로 나누어 공격 트래픽을 정규화하면 다른 그림을 얻을 수 있습니다.

DELETE 메서드를 사용한 전체 요청의 약 12%가 HTTP DDoS 공격의 일부였습니다. DELETE 다음으로 가장 많이 DDoS 공격 요청에 사용되는 메서드는 HEAD, PATCH, GET임을 알 수 있습니다.

DDoS 공격 요청의 80%가 HTTP/2를, 19%가 HTTP/1.1을 통한 공격이었지만, 버전별 총 트래픽으로 정규화하면 훨씬 작은 비율이었습니다. 모든 요청으로 공격 요청을 버전별로 정규화하면 다른 그림을 볼 수 있습니다. 비표준 또는 잘못 표시된 'HTTP/1.2' 버전으로 유입된 트래픽의 절반 이상은 악의적이며 DDoS 공격의 일부였습니다. 'HTTP/1.2'는 프로토콜의 공식 버전이 아니라는 점을 유의하는 것이 중요합니다.

^{HTTP DDoS 공격의 대다수는 실제로 HTTPS를 사용하여 암호화됩니다(거의 94%).}

중국은 2024년 3분기에 가장 많이 공격을 받은 지역이었습니다. 아랍에미리트가 2위, 홍콩이 3위를 차지했으며, 싱가포르, 독일, 브라질이 그 뒤를 이었습니다.

캐나다가 7위였고, 한국, 미국, 대만이 그 뒤를 이어 10위를 차지했습니다.

2024년 3분기에는 은행 및 금융 서비스 산업이 DDoS 공격을 가장 많이 받았습니다. 정보 기술 및 서비스가 2위였으며 통신, 서비스 공급자, 통신사 부문이 그 뒤를 이었습니다.

암호화폐, 인터넷, 도박 및 카지노, 게임이 그 뒤를 이어 공격을 가장 많이 받았습니다. 소비자 가전, 건설 및 토목 엔지니어링, 리테일 산업이 가장 많은 공격을 받은 상위 10개 산업 목록에 올랐습니다.

Cloudflare에서는 몇 년 전부터 DDoS 공격을 받은 고객을 대상으로 설문조사를 실시했습니다. 설문조사에서는 공격의 특성과 위협 행위자의 특성 등 다양한 요인을 다룹니다. 위협 행위자의 경우, 설문 응답자의 80%가 누가 공격했는지 모른다고 답했지만, 20%는 안다고 답했습니다. 응답자 중 32%는 위협 행위자들이 갈취범이에서고 답했습니다. 또 다른 25%는 경쟁업체가 자사를 공격했다고 답했으며, 또 다른 21%는 불만을 품은 고객이나 사용자가 공격의 배후에 있다고 답했습니다. 응답자의 14%는 국가 또는 정부가 후원하는 그룹에 의해 공격이 수행되었다고 답했습니다. 마지막으로 7%는 공격자가 실수로 자신을 공격했다고 답했습니다. 자체 DDoS 공격이 발생하는 한 가지 예는 IoT 기기의 펌웨어 업데이트 후 모든 기기에서 동시에 홈으로 액세스를 시도하여 트래픽이 폭주하는 경우입니다.

^{주요 위협 행위자의 분포}

위협 행위자 중에는 갈취범이 가장 흔했던 반면, 전체적으로 랜섬 DDoS 공격에 대한 보고는 전 분기 대비 42% 감소했지만, 전년 대비로는 17% 증가했습니다. 응답자의 총 7%는 랜섬 DDoS 공격을 받거나 공격자로부터 위협을 받았다고 답했습니다. 하지만 8월에는 이 비율이 10%로 증가했으며, 이는 10분의 1에 해당하는 수치입니다.

^{분기별 랜섬 DDoS 공격 보고}

인도네시아는 2024년 3분기에 가장 많은 DDoS 공격의 출처였습니다. 네덜란드가 두 번째로 큰 출처였으며 독일, 아르헨티나, 콜롬비아가 그 뒤를 이었습니다.

그 다음으로 큰 5대 출처로는 싱가포르, 홍콩, 러시아, 핀란드, 우크라이나가 포함되었습니다.

자체 네트워크와 인프라를 운영하는 서비스 공급자의 경우 누가 DDoS 공격을 생성하는 등의 악의적인 의도로 인프라를 사용하는지 파악하기 어려울 수 있습니다. 이러한 이유로 Cloudflare에서는 네트워크 운영자에게 무료 위협 인텔리전스 피드를 제공합니다. 이 피드는 서비스 공급자에게 이후 DDoS 공격에 가담한 것으로 확인된 네트워크 내 IP 주소에 대한 정보를 제공합니다.

그 정보에 따르면 독일의 IT 공급자인 Hetzner(AS24940)가 2024년 3분기 최대 HTTP DDoS 공격의 출처였습니다. 클라우드 컴퓨팅 플랫폼인 Linode(AS63949)는 2022년 Akamai에 인수되었으며, 두 번째로 규모가 큰 HTTP DDoS 공격의 출처였습니다. 3위는 플로리다에 소재한 서비스 공급자 Vultr(AS64515)입니다.

4위는 독일의 또 다른 IT 공급자 Netcup(AS197540)입니다. Google Cloud Platform(AS15169)이 그 뒤를 이어 5위를 차지했습니다. DigitalOcean(AS14061)이 6위였으며 프랑스 공급자 OVH(AS16276), Stark Industries(AS44477), Amazon Web Services(AS16509), Microsoft(AS8075)가 그 뒤를 이었습니다.

^{2024년 3분기에 HTTP DDoS 공격의 가장 큰 출처였던 네트워크}

이번 분기에 Cloudflare에서는 대규모 볼류메트릭 DDoS 공격이 전례 없이 급증하여 최고 3.8Tbps와 2.2Bpps에 도달하는 것을 관찰했습니다. 이는 작년 같은 기간의 비슷한 추세를 반영하는 것으로, HTTP/2 Rapid Reset 캠페인의 애플리케이션 계층 공격이 초당 2억 요청(Mrps)을 초과한 것과 유사합니다. 이러한 대규모 공격 때문에 인터넷 자산, 특히 용량이 제한된 클라우드 서비스 또는 온프레미스 솔루션에 의존하는 인터넷 자산이 압도될 수 있습니다.

지정학적 긴장과 세계적인 사건으로 인해 강력한 봇넷의 사용이 증가하면서 위험에 처한 조직의 범위가 확대되고 있으며, 이들 조직 대부분은 전통적으로 DDoS 공격의 주요 표적으로 간주되지 않았습니다. 안타깝게도 너무 많은 조직에서 공격으로 인해 이미 심각한 피해를 입은 후 수동으로 DDoS 방어 기능을 배포하고 있습니다.

Cloudflare에서 관찰한 결과, 잘 준비되고 포괄적인 보안 전략을 갖춘 기업일수록 사이버 위협에 대한 복원력이 훨씬 빠른 것으로 확인되었습니다. Cloudflare에서는 고객의 인터넷 이용을 보호하기 위해 최선을 다합니다. 저희는 자동화된 방어와 강력한 보안 제품 포트폴리오에 대한 막대한 투자를 통해 현재의 위협과 새롭게 발생하는 위협 모두에 대한 선제적 보호를 보장하므로 고객은 이를 방어할 필요가 없습니다.