계층 3 DDoS 공격의 작동 방식은? | L3 DDoS

계층 3 DDoS 공격이란?

분산 서비스 거부(DDoS) 공격은 대량의 데이터로 대상을 압도하려고 시도합니다.DDoS 공격은 교통 체증으로 고속도로가 막혀 정상적인 트래픽이 목적지에 도달하지 못하는 것과 같습니다.

계층 3 DDoS 공격은 OSI 모델의 계층 3(L3)을 대상으로 합니다.모든 DDoS 공격과 마찬가지로 계층 3 공격의 목표는 프로그램, 서비스, 컴퓨터, 네트워크의 속도를 늦추거나 충돌시키거나 용량을 채워 다른 사람이 서비스를 받을 수 없도록 하는 것입니다.L3 DDoS 공격은 일반적으로 네트워크 장비 및 인프라를 겨냥하여 이를 달성합니다.

계층 3 DDoS 공격과 상위 계층 공격 간에는 몇 가지 중요한 차이점이 있습니다.

1. 계층 3 공격은 전송 계층 또는 애플리케이션 계층 프로세스가 아닌 네트워크 계층을 대상으로 합니다(계층 4 및 계층 7 DDoS 공격처럼)
2. 계층 3 공격은 대상과의 TCP 연결을 먼저 할 필요가 없습니다
3. 계층 3 공격은 특정 포트를 대상으로 하지 않습니다

OSI 모델이란?

OSI 모델은 인터넷 작동 방식에 대한 개념적 모델입니다. OSI 모델의 주요 목표는 사람들이 네트워킹 장비 및 프로토콜에 대해 이야기하고, 어떤 소프트웨어 및 하드웨어에서 어떤 프로토콜을 사용하는지 결정하며, 기본 하드웨어와 관계없이 인터넷이 어떻게 기능을 발휘할 수 있는지 보여주도록 돕는 것입니다.

OSI 모델은 인터넷을 작동시키는 다양한 기술을 계층으로 구분합니다. 총 7개의 계층이 있습니다.

OSI 모델에서 계층 3이란?

OSI 계층 3은 네트워크 계층이라고 불립니다. 계층 3은 상호 연결된 네트워크(즉 인터넷)를 가능하게 하는 프로토콜과 기술로 구성됩니다. 이 계층은 네트워크를 통한 라우팅이 이루어지는 곳입니다. 네트워크를 통과하는 데이터는 패킷으로 나뉘며, 이러한 패킷은 주소가 지정되어 계층 3의 목적지로 전송됩니다. 이 프로세스에서 가장 중요한 프로토콜은 인터넷 프로토콜(IP)입니다.

계층 3의 프로토콜은 연결을 하거나, 안정적인 데이터 전달을 보장하거나, 대상 디바이스에서 데이터를 사용해야 하는 서비스를 나타내는 등의 작업은 하지 않습니다. 이들은 계층 4 프로세스입니다. 계층 4에는 TCP, UDP 등의 전송 프로토콜이 사용됩니다. 계층 4 전송 프로토콜 없이 네트워크를 통해 패킷을 보내는 것은 편지를 열어봐야 하는 해당 주소의 특정인의 이름을 포함하여 주소가 올바른지 확인하지 않고 해당 주소로 편지를 보내거나 평판이 좋은 우편 배달 서비스를 이용하는 것과 같습니다. 데이터는 도착할 수도, 도착하지 않을 수 있습니다. 계층 3 프로토콜을 항상 데이터가 올바른 위치로 이동하도록 하는 계층 4 전송 프로토콜과 함께 사용하는 이유가 바로 그것입니다.

그러나 전송 프로토콜을 사용하지 않고도 IP를 통해 네트워크 대상으로 데이터 패킷을 보낼 수 있습니다.

계층 3은 연결이 없으므로 계층 3 DDoS 공격은 TCP를 통해 연결을 열거나 포트 할당을 나타낼 필요가 없습니다. 계층 3 DDoS 공격은 특정 포트 대신 컴퓨터가 실행 중인 네트워크 소프트웨어를 대상으로 합니다.

계층 3에 사용되는 프로토콜은?

다음은 가장 널리 사용되는 계층 3 프로토콜이며 DDoS 공격에 사용될 가능성이 가장 높은 프로토콜입니다.

IP: 인터넷 프로토콜(IP)은 데이터 패킷이 올바른 대상에 도착하도록 라우팅하고 주소를 지정합니다.인터넷에 연결되는 모든 장치에는 IP 주소가 있으며 IP 프로토콜은 누군가에게 편지를 보내는 것처럼 각 데이터 패킷에 올바른 IP 주소를 첨부합니다.

IPsec: IPsec은 실제로는 단일 프로토콜이 아닌 여러 프로토콜의 그룹입니다.IPsec은 HTTPS와 HTTP의 차이와 유사하게 VPN에서 사용하는 암호화된 IP 버전입니다.

ICMP: 인터넷 제어 메시지 프로토콜(ICMP)은 오류 보고서 및 테스트를 처리합니다.연결 없는 프로토콜인 ICMP는 TCP 또는 UDP와 같은 전송 프로토콜을 사용하지 않습니다.대신 ICMP 패킷은 IP를 통해서만 전송됩니다.개발자와 네트워킹 엔지니어는 ping 및 traceroute 기능에 ICMP를 사용합니다.일반적으로 한 번에 하나의 ICMP 패킷만 보내면 됩니다.

다른 계층 3 프로토콜은 다음과 같습니다.

• IGMP: 인터넷 그룹 메시지 프로토콜은 IP 멀티캐스트 그룹을 관리하여 네트워크 내의 여러 장치가 동일한 IP 트래픽을 수신할 수 있도록 합니다.
• ARP: 주소 확인 프로토콜은 단일 네트워크 내에서만 사용할 수 있습니다. 컴퓨터는 이 프로토콜을 사용하여 IP 주소를 네트워크 내의 MAC 주소에 매핑합니다(MAC 주소는 지문과 같이 모든 인터넷 지원 장치 하드웨어에 내장된 고유 식별자임).

공격은 이론적으로 이러한 프로토콜 중 하나를 사용하여 가능합니다. ICMP는 일반적으로 응답할 수 없는 너무 많은 ping으로 서버를 폭주시키거나 수신 장치를 충돌시키는 하나의 큰 ping 패킷(이를 "죽음의 핑"이라고 함)으로 폭주시키는 데 사용됩니다. 공격자는 IPsec을 사용하여 정크 데이터 또는 지나치게 큰 보안 인증서로 대상을 폭주시킬 수 있습니다.

그러나 이러한 모든 프로토콜이 DDoS 공격에 실용적인 것은 아니며 일부 유형의 공격은 하드웨어를 업데이트하면 불가능해집니다. 예를 들어 ARP는 로컬 네트워크 내에서만 작동하므로 공격자는 DDoS 공격을 수행하기 전에 먼저 로컬 네트워크에 연결해야 합니다. 그리고 너무 큰 IP 패킷을 무시하는 최신 하드웨어에서는 죽음의 공격에 대한 ICMP ping이 불가능합니다.

L3 DDoS 공격은 어떻게 작동할까요?

다른 유형의 DDoS 공격과 마찬가지로 공격자는 이러한 프로토콜을 통해 대량의 정크 네트워크 트래픽을 보냅니다. 프로토콜에 따라 이를 수행하는 다양한 방법이 있습니다. 정크 트래픽은 합법적인 사용자 요청을 방해하여 응답 속도를 늦추거나 완전히 차단합니다. 때로는 정크 데이터가 너무 많아 대상의 리소스가 압도되고 대상이 충돌합니다.

잘 알려진 유형의 계층 3 DDoS 공격에는 어떤 것이 있을까요?

IP를 통한 공격만 포함하여 다른 공격도 가능하지만, ICMP 기반 공격이 가장 일반적입니다. 잘 알려진 ICMP 공격은 다음과 같습니다.

• Ping 폭주: ping 폭주 DDoS 공격에서 공격자는 한 번에 수천 개나 수백만 개의 ping 요청을 서버로 보냅니다.
• SMURF 공격: ICMP에는 보안 또는 확인 조치가 없으므로 공격자가 ICMP 요청에서 IP 주소를 스푸핑할 수 있습니다.SMURF DDoS 공격에서 공격자는 수천 개의 서버에 ping 요청을 보내 ping 요청에서 대상의 IP 주소를 스푸핑하여 응답이 공격자가 아닌 대상으로 이동하도록 합니다.대부분의 최신 네트워킹 하드웨어는 더 이상 이 공격에 취약하지 않습니다.
• 죽음의 핑: ICMP 죽음의 핑 공격에서 공격자는 최대 허용 크기보다 큰 ping 요청을 대상에 보냅니다.대상으로 가는 길에 라우터는 ping을 더 작은 패킷으로 분할하여 대상에서 이를 수락하지만, 작은 조각을 큰 패킷으로 다시 조립하려고 할 때 패킷 크기가 최대 값을 초과하고 대상이 충돌하게 만듭니다.최신 장치는 이 공격에 취약하지 않습니다.

Cloudflare에서는 계층 3 DDoS 공격으로부터 어떻게 보호할까요?

Cloudflare에서는 계층 4 및 7에서 DDoS 공격을 차단하는 것 외에도 계층 3 DDoS 공격을 완화합니다.Cloudflare Magic Transit은 모든 계층의 DDoS 공격을 포함하여 내부 네트워크 인프라에 대한 공격을 차단하도록 특별히 설계되었습니다.Cloudflare WAF 및 CDN은 또한 HTTP 및 HTTPS 포트(계층 7에만 해당)에 대한 트래픽만 수락하여 계층 3 DDoS 공격을 차단합니다.

TCP/IP 모델에서 계층 3이란?

TCP/IP 모델은 네트워킹 작동 방식의 대체 모델입니다. TCP/IP 모델에는 7개의 계층 대신 4개의 계층이 있습니다.

1. 애플리케이션 계층(OSI 모델의 계층 5~7에 해당)
2. 전송 계층(OSI 모델에서의 계층 4에 해당)
3. 인터넷 계층(OSI 모델에서의 계층 3에 해당)
4. 네트워크 액세스/링크 계층(OSI 모델의 계층 1~2에 해당)

OSI 모델 대신 TCP/IP 모델을 참조하는 계층 3 DDoS 공격을 계층 2 DDoS 공격이라고 합니다.