CLDAP 반사 DDoS

Akamai 보안 인텔리전스 대응팀(SIRT)에서는 얼마 전에 새로운 CLDAP(Connection-less Lightweight Directory Access Protocol) 반사 및 증폭 기법을 발견했습니다. 이 주의보에서는 CLDAP 반사 공격의 기능과 가능한 방어 방법에 대해 설명합니다.

저자: 호세 아르테아가(Jose Arteaga), 윌버 메히아(Wilber Mejia)

1.0 / 개요 /

Akamai 보안관제센터(SOC)는 2016년 10월 14일에 CLDAP(Connectionless Lightweight Directory Access Protocol) 반사로 의심되는 공격에 대한 대응을 시작했습니다. Akamai 보안 인텔리전스 대응팀(SIRT)이 조사한 결과, 이는 새로운 반사 및 증폭 기법을 사용하는 CLDAP 공격으로 확인되었습니다. 이후 DDoS 공격을 발생시키는 것으로 관측되었으며, 대부분 1Gbps를 상회한다는 측면에서 DNS 반사 공격과 유사한 면이 있습니다.

CLDAP 공격은 여타 반사 및 증폭 공격 벡터와 마찬가지로 적절한 수신 트래픽 필터링을 적용하면 효과를 발휘하지 못합니다. 인터넷 스캔을 통해 잠재적인 호스트를 확인할 수 있으며, UDP(User Datagram Protocol) 대상 포트 389를 필터링하여 공격을 증폭시키는 다른 잠재적 호스트를 배제할 수 있습니다. 이 주의보는 이러한 소스의 분포, 공격 방법 및 관측된 대상 업계에 대한 정보를 제공합니다.

2.0 / 공격 타임라인 /

Akamai는 2016년 10월부터 총 50건의 CLDAP 반사 공격을 탐지하고 이에 대응해 왔습니다. 50건의 공격 중 오직 CLDAP 반사만 사용한 단일 벡터 공격은 33건이었습니다. 그림 1에서는 단일 벡터 공격과 멀티벡터 공격을 구분하여 공격의 타임라인과 각 공격의 규모를 보여주고 있습니다.

CLDAP Reflection DDoS Attack Timeline

일반적인 공격은 주로 게임 업계를 대상으로 하는 반면, 이번에 관측된 CLDAP 공격은 소프트웨어 및 기술 업계를 가장 큰 표적으로 삼고 있으며, 이 외에도 6개의 기타 업종이 표적으로 삼았습니다.

Number of CLDAP Reflection Attacks By Industry

2.1 / 공격의 주요 특성 /

Akamai는 2017년 1월 7일에 CLDAP 반사를 단일 벡터로 사용하는 최대 규모의 DDoS 공격을 탐지하여 막아냈습니다. 해당 공격의 특성은 다음과 같습니다.

  • 대상 업계: 인터넷 & 통신
  • 최대 대역폭: 초당 24기가비트(Gbps)
  • 최대 초당 패킷 수: 초당 2백만 패킷
  • 공격 벡터: CLDAP
  • 소스 포트: 389
  • 대상 포트: 무작위

CLDAP Reflection Attack Signature

공격의 서명을 통해 막강한 증폭 계수를 사용할 수 있음을 알게 되었습니다. Akamai SIRT는 CLDAP가 사용된 몇 차례의 공격이 지나간 후 악성 LDAP(Lightweight Directory Access Protocol) 반사 쿼리의 샘플을 수집하는 데 성공했습니다. 쿼리의 페이로드는 52바이트에 불과했습니다. 쿼리에 대한 상세한 내용은 '공격 및 CLDAP 개요' 섹션을 참고하십시오. 이는 3,662바이트의 공격 데이터 페이로드와 52바이트의 쿼리 페이로드의 기본 증폭 계수(Base Amplification Factor, BAF)가 70배라는 의미입니다. 그러나 70배에 해당하는 응답 크기를 보인 호스트는 1개밖에 없었습니다. 공격 사후 분석 결과 공격 중 평균 증폭 계수는 56.89배였습니다.

이번 공격 규모는 24Gbps였으며, 이는 Akamai가 대응한 공격 중 사상 최대 규모입니다. 한편 CLDAP 벡터가 사용된 공격 중 Akamai에서 관측한 가장 작은 규모는 300Mbps이며, CLDAP 공격의 평균 공격 대역폭은 3Gbps입니다.