멤캐시드는 웹 사이트의 속도를 높일 수 있지만, 멤캐시드 서버를 악용하여 DDoS 공격을 수행할 수도 있습니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
멤캐시드 분산 서비스 거부(DDoS) 공격은 공격자가 인터넷 트래픽으로 대상 피해자에게 과부하를 가하려고 시도하는 사이버 공격의 한 유형입니다.공격자는 취약한 UDP 멤캐시드* 서버로 요청을 스푸핑한 다음 대상 피해자에게 인터넷 트래픽이 폭주하게 하여 피해자의 리소스를 압도할 수 있습니다.대상의 인터넷 인프라가 과부하되는 동안에는 새 요청을 처리할 수 없고 일반 트래픽이 인터넷 리소스에 액세스할 수 없어 서비스 거부가 발생합니다.
*멤캐시드는 웹 사이트 및 네트워크 속도를 높이기 위한 데이터베이스 캐싱 시스템입니다.
다음은 Cloudflare의 전역 네트워크에 있는 데이터 센터와 해당 데이터센터에서 최근 공격 중에 수신한 멤캐시드 공격 트래픽의 상대적인 양입니다.
멤캐시드 공격은 NTP 증폭 및 DNS 증폭과 같은 모든 DDoS 증폭 공격과 유사하게 작동합니다.이 공격은 스푸핑된 요청을 취약한 서버로 보낸 다음 해당 서버에서 최초 요청보다 더 많은 양의 데이터로 응답하여 트래픽 양을 확대하는 방식으로 작동합니다.
멤캐시드 증폭은 레스토랑에 전화해 "거기 있는 메뉴를 모두 1인분씩 주문할 테니 내게 전화해서 내가 주문한 걸 다 말해주세요"라고 말하는 악동을 생각하면 됩니다. 식당에서 어디로 전화하면 되느냐고 물을 때 공격 대상인 피해자의 전화번호를 알려주는 것입니다. 그러면 공격 대상인 피해자는 식당으로부터 본인이 요청하지도 않은 엄청난 양의 정보를 받게 됩니다.
이 증폭 공격 방법은 멤캐시드 서버가 UDP 프로토콜을 사용하여 작동하는 옵션을 가지고 있으므로 가능합니다. UDP는 양측이 통신에 동의하는 네트워크 프로세스인 핸드셰이크라고 알려진 것을 먼저 가져오지 않고도 데이터를 보낼 수 있는 네트워크 프로토콜입니다. UDP가 활용되는 이유는 대상 호스트에서 데이터를 수신할 의향이 있는지 여부에 대해 전혀 협의되지 않으므로 사전 동의 없이 대량의 데이터를 대상으로 보낼 수 있기 때문입니다.
멤캐시드 공격은 4단계에 걸쳐 이루어집니다.
이것이 바로 완화 중인 Cloudflare의 네트워크에 대한 초당 260GB의 멤캐시드 공격입니다
이러한 유형의 공격의 배율은 정말 놀랍습니다. 실제로 우리는 최대 51,200배의 증폭 배율을 목격했습니다! 이 배율은 15바이트 요청의 경우 750kB 응답을 보낼 수 있음을 의미합니다. 이는 이러한 공격 트래픽 볼륨의 무게를 감당할 수 없는 웹 자산에 대한 엄청난 증폭 배율과 보안 위험을 나타냅니다. 취약한 서버와 결합되어 이처럼 큰 증폭 배율을 보이는 멤캐시드는 다양한 대상에 대해 DDoS를 시작하려는 공격자의 경우에 주요 사용 사례가 됩니다.
Cloudflare에서는 네트워크 에지에서 UDP 트래픽을 필터링하여 이와 같은 증폭 공격으로 인한 위험을 제거합니다. Cloudflare의 고급 DDoS 보호 기능을 살펴보세요.
Cloudflare에서 발생하는 멤캐시드 공격 대처와 완화를 위한 특정 명령 및 프로세스에 대해 자세히 알아보려면 블로그 게시물 멤크래시드 - UDP 포트 11211의 주요 증폭 공격을 참조하세요.