0xNews - 증폭 DDoS 공격을 통해 방화벽과 미들박스 무력화 가능

메릴랜드 대학교, 콜로라도 대학교, 볼더 대학교 등 연계 그룹에서 USENIX 보안 심포지움에서 발표

미들박스와 검증 인프라에서 TCP 프로토콜의 약점을 통해 모든 대상에 대한 반사 reflected DoS 의 증폭 amplification 가능한 백터를 통해 무기화 이용 가능 확인

연구팀 발표 상세 사이트 링크

연구팀은 볼류메트릭 volumetric 공격이라 명명

방화벽, 침입 방지 시스템, 딥 패킷과 같은 TCP 비준수 네트워크 내 미들박스를 활용

검사 상자 DPI deep packet inspection 수십만개의 IP 주소가 DNS, NTP, Memcached 를 능가하는 증폭 공격 요소로 활용되어 네트워크 트래픽을 증폭 시킴

이번 연구는 USENIX 에서 Distinguished Paper Award 수상

미들박스 구성 요소의 오류를 공격자가 악용하여 TCP 프로토콜을 통해 DDoS 반사 증폭 공격을 수행하는 기술에 대해 기술한 최초의 기술

반사 증폭 공격은 Reflected amplification attacks 공격자가 넘쳐나는 패킷으로 대상 서버나 네트워크를 압도하기 위해 잘못 구성된 개방형 서버에 대한 스푸핑된 요청으로 UDP 프로토콜의 연결없는 특성을 활용

서버와 해당 서버를 중단시키거나 렌더링하는 DoS 공격 유형

일반적으로 취약한 서비스의 응답이 스푸핑된 요청보다 클 때 발생

이러한 요청을 활용하여 수천개의 요청을 보내 대상에서 발생된 크기와 대역폭을 크게 확대할 수 있음

US-Cert 의 증폭 DoS 위협에 대한 경고

DoS 증폭은 IP 기반 네트워크 SYN, SYN+ACK, ACK 를 통해 TCP/IP 연결을 설정하기 위해 TCP 3way handshake 가 발생하는 복잡성으로 인해 전통적으로 UDP 기반이지만 많은 수의 네트워크 미들박스는 TCP 표준을 따르지 않음

이로 인해 유효한 TCP 연결이나 핸드세이크가 없더라도 큰 블록 페이지로 스푸핑된 검열 요청에 응답할 수 있어 기기가 DoS 증폭 공격 대상의 대상이 될 수 있음

미들박스는 종종 인프라나 네트워크 설계 디자인측면에서 TCP 호환이 되지 않고 있음

많은 미들박스는 연결에서 패킷의 단방향만 볼 수 있는 비대칭 라우팅 처리를 하도록 구성(서버 - 클라이언트 관계처럼)

그러나 이번 연구를 통해 이런 단방향 설정이 된 미들박스 또한 공격이 되는 것을 확인

미들박스가 연결의 한쪽에만 기반하여 컨텐츠를 주입하는 경우 공격자는 TCP 3way 핸드세이크의 한쪽을 스푸핑하고 미들박스에 유효한 연결이 있다고 확신시킬 수 있음

이 메커니즘은 3자 핸드세이크를 완료하지 않고 응답을 주입하도록 미들박스를 속이고 이후 이를 사용하여 음란물이나 도박, 파일 공유 사이트 등과 같은 금지된 도메인에 접속하여 중간이 차단된 페이지로 응답하도록 하는 것

이는 검열된 요청보다 훨씬 크게 증폭 공격이 성공

이러한 증폭된 응답은 주로 미들박스에서 나올 뿐만 아니라 네트워크 검사 기기의 덩어리는 국가 기관 레벨

국가 기관에서 국경 내 정보에 대한 접속을 억제할 수 있도록 하는 인프라가 수행하는 역할을 강조

공격자가 네트워크 기기를 무기화하여 인터넷의 모든 피해자를 공격할 수 있도록 함

국가 기관 레벨은 고속 ISP 에 위치하고 엄청나게 높은 대역폭에서 데이터를 보내고 주입 가능

이를 통해 공격자는 증폭기 포화에 대한 걱정 없는 더 많은 양의 트래픽을 증폭할 수 있음

또한 증폭 공격을 트리거하는데 사용할 수 있는 엄청난 소스 IP 주소 풀로 인해 피해자가 단순히 소수의 반사기를 차단히기는 매우 힘듬

검열관은 해당 국가 내에서 라우팅 가능한 모든 IP 주소를 잠재적인 증폭기로 효과적으로 전환

미들박스는 공격자가 강력한 DoS 공격을 시작하는데 활용할 수 있는, 예상하지 못한 미개척 위협 리스트 중 하나

이러한 위협으로부터 인터넷을 보호하려면 향후 미들박스 제조업체와 운영자 등의 공동 대응 노력 필요

openLab