올해 들어 최대 규모 분산서비스거부(DDoS) 공격이 프랑스를 강타했다.
13일(현지시간) 미국 지디넷 등 외신은 최근 발생하고 있는 DDoS 공격이 초당 400기가비트(400Gbps) 규모로 프랑스 웹사이트를 마비시켰다고 보도했다.
아버네트웍스, 클라우드플레어 등 보안업체에 따르면 공격규모는 325Gbps~400Gbps에 달한다.
다렌 안스티 아버네트웍스 솔루션 아키텍처 담당 디렉터는 9번째 전 세계 인프라스트럭처 보안 리포트(WISR)에 따르면 지난해 이례적으로 309Gbps에 달하는 공격이 발생했으나 최근 공격이 이 기록을 갈아치웠다고 말했다.
공격은 지난해 시만텍이 공개한 '네트워크 타임 프로토콜(NTP) DDoS 공격' 수법이다.
인터넷과 로컬 네트워크 환경에서 PC나 서버 등 각 기기들 간 시간을 동기화하는데 사용되는 것이 NTP다. 이 프로토콜에 '몬리스트(monlist)'라는 명령어를 날리면 최근에 해당 서버에 누가 접속했는지에 대한 최신 리스트를 보여준다.
공격자는 이 명령어를 악용해 많은 수의 UDP 패킷을 특정 IP주소로 보낸다. 이 패킷은 다시 NTP서버(포트123)로 보내지며 해당 서버가 몬리스트 명령을 반복적으로 실행해 DDoS 공격을 유발한다.
관련기사
- KISA-네이버-안랩, IE 악용한 DDoS 공격 방지 협력2014.02.14
- KISA, DDoS 공격 유발 좀비PC 주의 당부2014.02.14
- 언론·포털 16곳 대규모 DDoS 공격 받았다2014.02.14
- 中, DDoS 공격 받아 웹사이트 3분의 1 장애2014.02.14
NTP DDoS 공격은 좀비PC를 별도로 만들 필요없이 매우 짧은 시간 동안 트래픽을 증폭시킬 수 있어 최근 공격자들 사이에 유행을 타고 있다.
이러한 공격을 방지하기 위해 먼저 몬리스트를 지원하는 다른 NTP서버가 없는지 확인해야 한다. 또한 NTP서버가 취약한 버전일 경우 NTP-4.2.7p26 이상 버전으로 업그레이드해야 한다.
